通过日志中的matchin部分字符串获取唯一计数

Question

我想知道有多少用户有蓝色&其中有多少人对所有唯一身份用户都有红色？

[2011-09-30 18:15:01:559 GMT+00:00][137D3B5A5F196F81A405858E6A5AA01F.maps-358-thread-1][com.abc.myaction.myfilter] INFO email=abc@hotmail.com userid=1234 
[2011-09-30 18:15:01:559 GMT+00:00][237D3B5A5F197F81A405858E6A5AA0WD.maps-158-thread1][com.abc.myaction.myfilter] INFO email=pqr@rff.com userid=4235 
[2011-09-30 18:15:01:559 GMT+00:00][337D3B5A5F198F81A405858E6A5AA0GW.maps-258-thread-1][com.abc.myaction.myfilter] INFO email=xyz@abc.com userid=7645 
[2011-09-30 18:14:58:768 GMT+00:00][237D3B5A5F198F81A405858E6A5AA09F.http-8080-11][com.pqr.abclogging.mywrapper] DEBUG redColor=true blueColor=false 
[2011-09-30 18:14:58:768 GMT+00:00][237D3B5A5F197F81A405858E6A5AA0WD.http-8080-11][com.fff.filter] DEBUG redColor=true blueColor=false 
[2011-09-30 18:14:58:768 GMT+00:00][137D3B5A5F196F81A405858E6A5AA01F.http-8080-11][com.xyz.wrapper] DEBUG redColor=false blueColor=true 
[2011-09-30 18:14:58:768 GMT+00:00][337D3B5A5F198F81A405858E6A5AA0GW.http-8080-11][com.xyz.wrapper] DEBUG redColor=false blueColor=true 

在上面的日志，我已经把所有不同用户&然后为每个用户，我需要得到他们的会话ID &它们包含DEBUG &检查行内匹配，如果redColor = true或不。

因此，在上述情况下，输出应该是：

没有用红色用户= 1（注：237D3B5A5F198F81A405858E6A5AA09F不匹配任何东西，因此不计算在内，即使它的红旗为true）否用户蓝色= 2

这是可能的splunk？

Answer 1

首先，你是否为sessionid提取了一个字段？在我下面的例子中，我假设它是可用的

sourcetype=yoursourcetype | transaction sessionid | search debug 
| eval redCount = if(isnull(mvfind(redColor,"true")), 0, 1) 
| eval blueCount = if(isnull(mvfind(blueColor,"true")), 0, 1) 
| search redCount > 0 OR blueCount > 0 
| stats avg(redCount) avg(blueCount) by userid 
| stats sum(redCount) as red sum(blueCount) as blue dc(userid) as totalUsers 
| fields + totalUsers red blue 

我建议你先尝试搜索的第一行。如果可行，运行前两行，然后运行3，等等。我设置好了，这样你就可以对它进行测试。另外，用你的数据的适当源类型替换你的源类型。