sumologic - 如何在 sumologic 中创建聚合表?
问题描述
如何构建一个 sumologic 查询,该查询将在聚合表中返回以下日志项,该聚合表对 uri、status_code 和请求数进行分组。例如:uri = /healthcheck、status_code = 200 和 requests = 1。
<27>Sep 12 11:03:26 my-app/0.0.0/75a2b6b67d68[2908]: [Wed Sep 12 11:03:26 2018] 00.00.00.00:00000 [200]: /healthcheck
我特别不确定如何解析这样的日志,我试过了,但没有奏效:
_source="syslog-collector-tcp" "my-app"
| parse "[*] : *" as request
解决方案
您可能需要为此使用正则表达式。它看起来像:
| parse regex "\[(?<status_code>[0-9]{3})\]: \/(?<uri>.*)$"
| count by status_code, uri
这将删除不符合正则表达式标准的日志行。如果要保留其他行,则需要添加 nodrop:
| parse regex "\[(?<status_code>[0-9]{3})\]: \/(?<uri>.*)$" nodrop
| count by status_code, uri
这只是一个示例 - 您的日志的确切正则表达式可能会略有不同,具体取决于它们的格式,但这是我为上面的示例提出的。
希望这可以帮助!
推荐阅读
- c++ - cpp中动态分配和普通指针的区别
- java - 微调器上的 Binder 事务失败
- .net - Reactor.Template 未安装(.NET SDK)
- python - 在 Selenium 中查看“a”锚标记是否包含我想要的文本,然后在同一行中提取多个 td 文本
- r - 如何使用 tidyverse 正确旋转表格?
- python - 如何在 google colab 中编写代码以重新运行所有脚本一定数量的迭代?
- c++ - 用字符串填充 argv(并获取 argc)以传递给其他方法
- ip - AzerothCore. 我可以在 realmlist 表中使用我的 DDNS 主机名吗?
- scip - 是否可以直接从 PyScipOpt 模型对象访问 SCIP 的统计输出值?
- go - 嵌入 FS 无法正确解析模板