grep - 有没有办法在 Splunk 中实现之前/之后的事件,或在报告中实现实时事件流?
问题描述
在 *nix 命令行上,您可以在使用命令时看到相关的前后行grep:
grep "abc" -A 2 -B 3
解决方案
尽管 Splunk 曾经称自己为“数据中心的 grep”,但它并不是 grep 的实现。
当发现事件时,它们一次被处理一个,因此没有相对线/事件的真正概念。
如果您既不使用head也不使用tail,那么您将获得所有事件(受内存和其他一些限制)。
这就是你所说的“连续流”吗?如果不是,你是什么意思?
也许实时搜索符合“连续”的条件?