Splunkクエリを作成して、結果に特定のイベントタイプの結果が何回表示されるかを確認できます。未使用のイベントタイプのSplunkクエリを作成するにはどうすればよいですか?
severity=error | stats count by eventtype
これはそうのようなテーブルを作成:これまでのところ
eventtype | count
------------------------
myEventType1 | 5
myEventType2 | 12
myEventType3 | 30
とても良いです。しかし、私はに0の結果を持つイベントタイプを見つけたいと思います。残念ながら、上記のクエリでは、カウントが0のメンバーは表示されないため、これでフィルタリングするだけではありません。
未使用のイベントタイプのSplunkクエリを作成するにはどうすればよいですか?
「イベントタイプ」の意味によって、さまざまな方法があります。どこかで、あなたが興味を持っているもののリストを取得し、それらをクエリにロールバックする必要があります。ここで
は
severity=error
| stats count as mycount by eventtype
| inputcsv append=t mylist.csv
| eval mycount=coalesce(mycount,0)
| stats sum(mycount) as mycount by eventtype
はここであなたが発生したすべてのイベントタイプのリストを望んでいたと仮定して、別のバージョンだ...あなたが見たいと思ったイベントタイプのリストが含まれていcsvファイルを持っていたと仮定すると、1つのバージョンです過去90日間、昨日何回発生したかのカウントと一緒に:
[email protected] [email protected] severity=error
| addinfo
| stats count as totalcount count(eval(_time>=info_max_time-86400)) as yesterdaycount by eventtype