Wie verwende ich den rex-Befehl, um zwei Felder zu extrahieren und die Anzahl für beide in einer Suchanfrage zu berechnen?

Question

Ich habe eine Protokollanweisung wie 2017-06-21 12: 53: 48,426 INFO transaction.TransactionManager.Info:181 - {"message": {"TransactionStatus": true, "TransactioName": "removeLockedUser-1498029828160"}} . Wie kann ich TransactionName und TranscationStatus extrahieren und in Tabellenform TransactionName und seine Anzahl drucken.

Ich versuchte unten Abfrage, aber keinen Erfolg. Es gibt mir immer 0.

sourcetype = 10.240.204.69 "TransactionStatus" | rex Feld = _raw ".TransactionStatus (?)." | stats count ((status = true)) als SUCCESS_COUNT

Answer 1

es mit diesem Gelöst:

| makeresults | eval _raw = "2017-06-21 12: 53: 48,426 INFO transaction.TransactionManager.Info:181 - {\" nachricht \ ": {\" TransactionStatus \ ": true, \" TransactioName \ ": \" removeLockedUser-1498029828160 \ "}}" | Benennen Sie COMMENT AS um. "Alles, was oben angezeigt wird, generiert Beispiel-Ereignisdaten. Alles, was darunter steht, ist Ihre Lösung" | rex "{\" TransactionStatus \ ": (? [^,] )," TransactioName ": \" (? [^ \ "]) \" " | chart count OVER TransactioName BY TransactionStatus