2. 질의 응답
  3. 트랜잭션이있는 Splunk 로깅

트랜잭션이있는 Splunk 로깅

2017-11-10 1 views
0

1) url 호출에 대한 p (95) 응답 시간이 포함 된 HTTP URL의 발생 횟수를 계산하고 싶습니다. 응답 코드는 200 또는 500입니다. 2) 응답 시간은 시간 스탬프 b/w 라인 6의 차이 3) URL 호출 & 상태 코드는 Thread-30_Server_1 인 동일한 스레드에 대해 발생하며 항상 다음 번에 발생해야합니다 두 이벤트가 모두 표시되면 & 이벤트 2 동일한 스레드에서 발생하지만 응답 상태 코드는 항상 순차적이어야합니다. 이벤트 1 :트랜잭션이있는 Splunk 로깅

Line1) 2017-11-10 03:05:38,826 10606295 INFO (Thread-30_Server_1:) :Url in else part is:https://example.net/v1/abc/xyz 
Line2) 2017-11-10 03:05:38,826 10606295 INFO (Thread-30_Server_1:) %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% 
Line3) 2017-11-10 03:05:38,826 10606295 INFO (Thread-30_Server_1:) HTTP url : https://example.net/v1/abc/xyz 
Line4) 2017-11-10 03:05:38,826 10606295 INFO (Thread-30_Server_1:) Body: [{"itemID":"42650750083","uom":"EACH","toZipCode":"112173111","qty":1,"channel":"dotcom"}] 
Line5) 2017-11-10 03:05:38,826 10606295 INFO (Thread-30_Server_1:) %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% 
Line6) 2017-11-10 03:05:39,012 10606481 INFO (Thread-30_Server_1:) :Status Code is:200 
Line7) 2017-11-10 03:05:39,012 10606481 INFO (Thread-30_Server_1:) :Status message is:"Success" 
Line8) 2017-11-10 03:05:39,012 10606481 INFO (Thread-30_Server_1:) Exit call and 3

이벤트 2 :

는 그래서 인 Splunk 검색이 곳-아래

(350) 등의 상태와 이벤트 2 로그의 추출물이 200로 상태로 이벤트 1을 반환해야 

Line101) 2017-11-10 03:05:39,364 10606833 INFO (Thread-30_Server_1:) Enter call with 5 attributes 
Line102) 2017-11-10 03:05:39,364 10606833 INFO (Thread-30_Server_1:) %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% 
Line103) 2017-11-10 03:05:39,364 10606833 INFO (Thread-30_Server_1:) HTTP url : https://example.net/v2/mmm/nnn 
Line104) 2017-11-10 03:05:39,364 10606833 INFO (Thread-30_Server_1:) %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% 
Line105) 2017-11-10 03:05:39,442 10606911 INFO (Thread-30_Server_1:) #################################################################### 
Line106) 2017-11-10 03:05:39,442 10606911 INFO (Thread-30_Server_1:) Output from Server 
Line107) 2017-11-10 03:05:39,442 10606911 INFO (Thread-30_Server_1:) {"status":350,"message":"Success","body":[{"shortageQty":0,"reservedQty":1,"partiallyReservedQty":0,"problemType":"SUCCESS"}}]} 
Line108) 2017-11-10 03:05:39,442 10606911 INFO (Thread-30_Server_1:) #################################################################### 
Line109) 2017-11-10 03:05:39,442 10606911 INFO (Thread-30_Server_1:) :Status Code is:350 
Line110) 2017-11-10 03:05:39,442 10606911 INFO (Thread-30_Server_1:) :Status message is:"Success" 
Line111) 2017-11-10 03:05:39,442 10606911 INFO (Thread-30_Server_1:) Exit call

출처

2017-11-10 gautham

답변

0

먼저 Splunk 타임 스탬프가 로그 타임 스탬프와 다른 이유는 무엇입니까? 적절한 titmestamping 및 줄 바꿈을 사용하려면 props.conf에 기본 구성을 적용해야합니다. 나는이 일을하기 전에이 문제를 다룰 것이다.

두 번째 부분은 두 줄을 단일 이벤트로 결합한 다음 where 절을 추가하면 상태 = 200 및 상태 = 350 인 이벤트 만 반환합니다.

출처

2017-11-10 20:44:32 skoelpin

관련 문제

 관련 문제