Как создать запрос Splunk для неиспользуемых типов событий?

Я обнаружил, что могу создать запрос Splunk, чтобы показать, сколько раз результаты определенного типа события появляются в результатах.

severity=error | stats count by eventtype

Это создает такую ​​таблицу:

eventtype    | count
------------------------
myEventType1 | 5
myEventType2 | 12
myEventType3 | 30

Все идет нормально. Однако я хотел бы найти типы событий с нулевыми результатами. К сожалению, те, у кого счетчик 0, не фигурируют в запросе выше, поэтому я не могу просто отфильтровать по нему.

Как создать запрос Splunk для неиспользуемых типов событий?


splunk splunk-query
person Thunderforge    schedule 29.08.2017    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Для этого есть много разных способов, в зависимости от того, что вы подразумеваете под «типами событий». Где-то вам нужно получить список всего, что вас интересует, и включить его в запрос.

Вот одна из версий, предполагающая, что у вас есть csv, содержащий список типов событий, которые вы хотели бы увидеть ...

severity=error 
| stats count as mycount by eventtype
| inputcsv append=t mylist.csv
| eval mycount=coalesce(mycount,0)
| stats sum(mycount) as mycount by eventtype

Вот еще одна версия, предполагающая, что вам нужен список всех типов событий, произошедших за последние 90 дней, а также количество событий, произошедших вчера:

earliest=-90d@d latest=@d severity=error
| addinfo
| stats count as totalcount count(eval(_time>=info_max_time-86400)) as yesterdaycount by eventtype
person Dal Jeanis    schedule 30.09.2017