1. 首頁
  2. 問答
  3. 如何使用rex命令提取兩個字段並在一個搜索查詢中統計兩者的數量?

如何使用rex命令提取兩個字段並在一個搜索查詢中統計兩者的數量?

2017-06-21 32 views
0

我有一個日誌聲明,如2017-06-21 12:53:48,426 INFO transaction.TransactionManager.Info:181 - {「message」:{「TransactionStatus」:true,「TransactioName」:「removeLockedUser-1498029828160」}} 。 如何提取TransactionName和TranscationStatus並以表格形式TransactionName及其計數打印。如何使用rex命令提取兩個字段並在一個搜索查詢中統計兩者的數量?

我試過下面的查詢但沒有得到任何成功。它總是給我0.

sourcetype = 10.240.204.69「TransactionStatus」| REX字段= _raw 「.TransactionStatus(?)」 |統計數((狀態=真))作爲SUCCESS_COUNT

來源

2017-06-21 anu arora

回答

0

與此解決它:

| makeresults | eval _raw =「2017-06-21 12:53:48,426 INFO transaction.TransactionManager.Info:181 - {\」message \「:{\」TransactionStatus \「:true,\」TransactioName \「:\」removeLockedUser-1498029828160 \「}}」 |將COMMENT AS重命名爲「以上所有內容都生成樣本事件數據;以下所有內容均爲您的解決方案」 |雷克斯 「{\」 的TransactionStatus \ 「:,\([^,] ?)」 TransactioName \ 「:\」(?[^ \ 「])\」」 |圖表計數OVER TransactioName BY的TransactionStatus

來源

2017-06-22 03:38:16

相關問題

 相關問題