splunk - 如果主机不活动超过 5 分钟,则 Splunk 搜索
问题描述
我在每个用户搜索的 splunk 数据中有两条特定消息。
- 积极的
- 非活动 任何人都知道我如何在 splunk 中搜索处于非活动状态超过 5 分钟的用户。我已经进行了搜索,它可以找到非活动和活动消息以及每个消息的时间戳。我想要做的只是在这两条消息之间的时间超过每个用户 5 分钟时才返回结果。
例子:
index="document" (message="inactive" OR message="active")
不确定如何根据每个用户的时间戳计算这两条消息之间的时间?
解决方案
也许这会有所帮助。
index="document" (message="inactive" OR message="active")
```Create a new field called "duration" that the difference between the last value of _time and the current value```
| streamstats window=2 range(_time) as duration by user
```Show only the active users with duration greater than 5 minutes (300 seconds)```
| where (message="inactive" AND duration>300)