Я пьяный noob пытается написать запрос на пару часов, но пока не удалось. Я хочу подсчитать количество срабатываний команды «install» и код выхода «0» Каждая команда установки записывает журнал в новый файл с форматом «install_timestamp», поэтому я ищу источник = «install *»,Splunk получить объединенный результат из 2-х событий
Использование 2-х исходных файлов в качестве примера
source1:
event1:command=install
... //a couple of other events
event100:exit_code=0
source2:
event1:command=install -f
... //a couple of other events
event100:exit_code=0
в этом случае я хочу, чтобы результат 1. только 1 вхождение exit_code = 0, когда команда была «установить» (не -f) дело в том, что это что информация для команды и exit_code находится в разных событиях, я могу получить каждое из двух событий отдельно, но могу определить, как получить комбинированный результат.
Любые советы о том, как я могу достичь результата, которого я хочу? - Благодаря!
Сделки - это один из подходов, который может помочь, проверьте документы http://docs.splunk.com/Documentation/Splunk/latest/SearchReference/transaction – Shakeel