问题描述
所有流都是JMS消息传递流-不同的系统在这里交换队列消息。
我想从日志中找到庞大的记录器语句-大约超过10行。
我尝试过的方法-我尝试使用模式标签,其中splunk告诉我们什么是重复模式。
我擅长使用重复模式-但我想找出巨大的记录器语句。
所以-是否有可能找出更长/更大的此类日志语句
先谢谢您
解决方法
Splunk具有一个名为“ linecount”的内置字段,该字段应该执行您想要的操作。
index=foo
| where linecount > 10
您还可以使用len函数查找事件的大小。
index=foo
| eval size=len(_raw)
| where size > 5000
请注意,尽管可以通过TRUNCATE = <n>在props.conf中更改该设置,但Splunk默认将大事件截断为10,000个字符。