У меня есть такие результаты, как показано ниже:
1. DateTime=2019-07-02T16:17:20,913 Thread=[], Message=[Message(userId=124, timestamp=2019-07-02T16:17:10.859Z, notificationType=CREATE, userAccount=UserAccount(firstName=S, lastName=K, [email protected], status=ACTIVE), originalValues=OriginalValue(emailAddress=null)) Toggle : true]
2. DateTime=2019-07-02T16:18:20,913 Thread=[], Message=[Message(userId=124, timestamp=2019-07-02T16:17:10.859Z, notificationType=CREATE, userAccount=UserAccount(firstName=S, lastName=K, [email protected], status=ACTIVE), originalValues=OriginalValue([email protected])) Toggle : true]
3. DateTime=2019-07-02T16:19:20,913 Thread=[], Message=[Message(userId=124, timestamp=2019-07-02T16:17:10.859Z, notificationType=CREATE, userAccount=UserAccount(firstName=S, lastName=K, [email protected], status=ACTIVE), originalValues=OriginalValue([email protected])) Toggle : true]
И я пытаюсь сгруппировать результаты, в которых содержимое всего поля "Message" одинаково, а "emailAddress=null" не содержится в сообщении.
So in the results above 2 and 3 should be the output.
Следующий запрос мне подходит, но мне нужно его дополнительно оптимизировать в соответствии со следующими условиями:
Рабочий запрос: index=app sourcetype=appname host=appname* splunk_server_group=us-east-2 | fields Message | search Message= "[Message*" | regex _raw!="emailAddress=null" | stats count(Message) as count by Message | where count > 1
Условия для оптимизации
- Не может рекс против сырого
- Пара ключ / значение сообщения должна быть в основном поиске, а не в подпоиске.
