1. ホーム
  2. 質問と答え
  3. トランザクションでのSplunkログ

トランザクションでのSplunkログ

2017-11-10 13 views
0

1)url呼び出しのp(95)応答時間でHTTP URLの発生回数をカウントしたい: https://example.net/v1/abc/xyzレスポンスコードを200または500とする 2)応答時間は時間スタンプの差b/w行6 3)URL呼び出しの両方&ステータスコードは、スレッド30_Server_1と同じスレッドで発生し、常に次の発生でなければなりません 両方のイベントが表示される場合&イベント2同じスレッドで発生しますが、応答ステータスコードは常にシーケンシャルでなければなりません。 だから、Splunkの検索は200 350トランザクションでのSplunkログ

以下

としてステータスとイベント2 - などとしてのステータスとイベント1を返す必要がありますが、ログからの抜粋です: イベント1:

Line1) 2017-11-10 03:05:38,826 10606295 INFO (Thread-30_Server_1:) :Url in else part is:https://example.net/v1/abc/xyz 
Line2) 2017-11-10 03:05:38,826 10606295 INFO (Thread-30_Server_1:) %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% 
Line3) 2017-11-10 03:05:38,826 10606295 INFO (Thread-30_Server_1:) HTTP url : https://example.net/v1/abc/xyz 
Line4) 2017-11-10 03:05:38,826 10606295 INFO (Thread-30_Server_1:) Body: [{"itemID":"42650750083","uom":"EACH","toZipCode":"112173111","qty":1,"channel":"dotcom"}] 
Line5) 2017-11-10 03:05:38,826 10606295 INFO (Thread-30_Server_1:) %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% 
Line6) 2017-11-10 03:05:39,012 10606481 INFO (Thread-30_Server_1:) :Status Code is:200 
Line7) 2017-11-10 03:05:39,012 10606481 INFO (Thread-30_Server_1:) :Status message is:"Success" 
Line8) 2017-11-10 03:05:39,012 10606481 INFO (Thread-30_Server_1:) Exit call and 3

イベント2:

Line101) 2017-11-10 03:05:39,364 10606833 INFO (Thread-30_Server_1:) Enter call with 5 attributes 
Line102) 2017-11-10 03:05:39,364 10606833 INFO (Thread-30_Server_1:) %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% 
Line103) 2017-11-10 03:05:39,364 10606833 INFO (Thread-30_Server_1:) HTTP url : https://example.net/v2/mmm/nnn 
Line104) 2017-11-10 03:05:39,364 10606833 INFO (Thread-30_Server_1:) %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% 
Line105) 2017-11-10 03:05:39,442 10606911 INFO (Thread-30_Server_1:) #################################################################### 
Line106) 2017-11-10 03:05:39,442 10606911 INFO (Thread-30_Server_1:) Output from Server 
Line107) 2017-11-10 03:05:39,442 10606911 INFO (Thread-30_Server_1:) {"status":350,"message":"Success","body":[{"shortageQty":0,"reservedQty":1,"partiallyReservedQty":0,"problemType":"SUCCESS"}}]} 
Line108) 2017-11-10 03:05:39,442 10606911 INFO (Thread-30_Server_1:) #################################################################### 
Line109) 2017-11-10 03:05:39,442 10606911 INFO (Thread-30_Server_1:) :Status Code is:350 
Line110) 2017-11-10 03:05:39,442 10606911 INFO (Thread-30_Server_1:) :Status message is:"Success" 
Line111) 2017-11-10 03:05:39,442 10606911 INFO (Thread-30_Server_1:) Exit call

出典

2017-11-10 gautham

答えて

0

まず、Splunkのタイムスタンプがログのタイムスタンプと異なるのはなぜですか?適切なtitmestampingと改行のために、props.confに基本設定を適用する必要があります。私は他のことをする前にこの問題に取り組んでいます。

あなたは、第2の部分がにwhere句を追加するだけの両方の状態でイベントを返す単一のイベントに2行を組み合わせることで解決することができる= 200 AND STATUS = 350

出典

2017-11-10 20:44:32 skoelpin

関連する問題

 関連する問題