Splunk：現在のイベントコンテキストに依存する一時変数？

Question

コンテキスト情報を大量に記録しないために、splunkでは各コンテキストのオープン/クローズを追跡できるという事実を利用したいと思います。例えば、特定のログ用：

2017-08-02 12:12:10.2342+00 - <A> - Enabled feature `feature.A` 
2017-08-02 12:12:11.1000+00 -  Some log message 
2017-08-02 12:12:12.1000+00 -  Another log message 
2017-08-02 12:12:13.1000+00 - <B> - Enabled feature `feature.B` 
2017-08-02 12:12:14.1000+00 -  Third log message 
2017-08-02 12:12:15.1000+00 - </A> - Disabled feature `feature.A` 
2017-08-02 12:12:16.1000+00 -  Fourth log message 
2017-08-02 12:12:17.1000+00 - </B> - Disabled feature `feature.B` 
2017-08-02 12:12:18.1000+00 -  Fifth log message 

...私は結果に次のVARSを持って欲しい：

Message    | Feature.A | Feature.B 
--------------------|-----------|---------- 
Some log message | +   | - 
Another log message | +   | - 
Third log message | +   | + 
Fourth log message | -   | + 
Fifth log message | -   | - 

は、Splunkの中で行うことが可能ですか？

Answer 1

はい、絶対にできます！それは、この作品

以下

は、あなたが正しい方向に

指数=何とかSOURCETYPE =何とか軌道に乗るための検索であることを確認するために少し肘グリースを取ります|トランザクションstartswith = "無効な 機能" endswith = "有効な機能" |メッセージ

によって統計値（Feature.A） 値（Feature.B） は

また、使用することができ、新たなフィールドを作成し、あなたのSplunk

より良いアプローチ内の変数を割り当てる機能を提供しますevalそれが発生するたびにステートフルな情報をテキストファイルに書き出し、Splunkにそのファイルの参照を行い、結果を表示させることです。あなたの最終目標は何ですか？あなたは、機能の状態を示す「リビングダッシュボード」を構築しようとしていますか？