1. 首页
  2. 问答
  3. 如何使用rex命令提取两个字段并在一个搜索查询中统计两者的数量?

如何使用rex命令提取两个字段并在一个搜索查询中统计两者的数量?

2017-06-21 31 views
0

我有一个日志声明,如2017-06-21 12:53:48,426 INFO transaction.TransactionManager.Info:181 - {“message”:{“TransactionStatus”:true,“TransactioName”:“removeLockedUser-1498029828160”}} 。 如何提取TransactionName和TranscationStatus并以表格形式TransactionName及其计数打印。如何使用rex命令提取两个字段并在一个搜索查询中统计两者的数量?

我试过下面的查询但没有得到任何成功。它总是给我0.

sourcetype = 10.240.204.69“TransactionStatus”| REX字段= _raw “.TransactionStatus(?)” |统计数((状态=真))作为SUCCESS_COUNT

来源

2017-06-21 anu arora

回答

0

与此解决它:

| makeresults | eval _raw =“2017-06-21 12:53:48,426 INFO transaction.TransactionManager.Info:181 - {\”message \“:{\”TransactionStatus \“:true,\”TransactioName \“:\”removeLockedUser-1498029828160 \“}}” |将COMMENT AS重命名为“以上所有内容都生成样本事件数据;以下所有内容均为您的解决方案” |雷克斯 “{\” 的TransactionStatus \ “:,\([^,] ?)” TransactioName \ “:\”(?[^ \ “])\”” |图表计数OVER TransactioName BY的TransactionStatus

来源

2017-06-22 03:38:16

相关问题

 相关问题