Splunk：取决于当前事件上下文的临时变量？

Question

为了不记录大量的上下文信息，我想要使用这样一个事实，即在splunk中，我可以跟踪每个上下文何时打开/关闭。例如，对于给定的日志：

2017-08-02 12:12:10.2342+00 - <A> - Enabled feature `feature.A` 
2017-08-02 12:12:11.1000+00 -  Some log message 
2017-08-02 12:12:12.1000+00 -  Another log message 
2017-08-02 12:12:13.1000+00 - <B> - Enabled feature `feature.B` 
2017-08-02 12:12:14.1000+00 -  Third log message 
2017-08-02 12:12:15.1000+00 - </A> - Disabled feature `feature.A` 
2017-08-02 12:12:16.1000+00 -  Fourth log message 
2017-08-02 12:12:17.1000+00 - </B> - Disabled feature `feature.B` 
2017-08-02 12:12:18.1000+00 -  Fifth log message 

...我想有以下瓦尔的结果：

Message    | Feature.A | Feature.B 
--------------------|-----------|---------- 
Some log message | +   | - 
Another log message | +   | - 
Third log message | +   | + 
Fourth log message | -   | + 
Fifth log message | -   | - 

是否有可能在Splunk的呢？

Answer 1

是的，绝对可以！这将需要一点点苦劳，使这项工作

下面是搜索，让你在正确的方向

指数=等等sourceType的=等等去|交易startswith =“禁用 功能”endswith =“启用功能”|统计值（Feature.A） 值（Feature.B）由消息

您也可以使用eval这将创造一个新的领域，并给你内的Splunk

一个更好的办法分配变量的能力将每次发生有状态信息写入文本文件时，Splunk会对该文件执行查找并显示结果。你最终的目标是什么？您是否希望构建一个显示功能状态的“活动仪表板”？