Splunk: temporäre Variablen abhängig vom aktuellen Ereigniskontext?

Question

Um nicht viele Kontextinformationen zu protokollieren, möchte ich die Tatsache verwenden, dass ich in Splunk verfolgen kann, wenn jeder Kontext geöffnet/geschlossen wird. Zum Beispiel für gegebenes Protokoll:

2017-08-02 12:12:10.2342+00 - <A> - Enabled feature `feature.A` 
2017-08-02 12:12:11.1000+00 -  Some log message 
2017-08-02 12:12:12.1000+00 -  Another log message 
2017-08-02 12:12:13.1000+00 - <B> - Enabled feature `feature.B` 
2017-08-02 12:12:14.1000+00 -  Third log message 
2017-08-02 12:12:15.1000+00 - </A> - Disabled feature `feature.A` 
2017-08-02 12:12:16.1000+00 -  Fourth log message 
2017-08-02 12:12:17.1000+00 - </B> - Disabled feature `feature.B` 
2017-08-02 12:12:18.1000+00 -  Fifth log message 

... mag ich folgenden Vars im Ergebnis habe:

Message    | Feature.A | Feature.B 
--------------------|-----------|---------- 
Some log message | +   | - 
Another log message | +   | - 
Third log message | +   | + 
Fourth log message | -   | + 
Fifth log message | -   | - 

Ist es möglich, in Splunk zu tun?

Answer 1

Ja, absolut können Sie! Es wird ein wenig Fett Ellenbogen, um diese Arbeit zu machen

Im Folgenden wird eine Suche Sie in die richtige Richtung gehen

index = blah blah = Source | transaction startswith = "Deaktiviert feature" endswith = "Aktivierte Funktion" | Statistiken Werte (Feature.A) Werte (Feature.B) von der Nachricht

Sie könnten auch eval verwenden, die ein neues Feld erstellen und Ihnen die Möglichkeit, Variablen innerhalb Splunk zuweisen

Ein besserer Ansatz wäre es, die statusbehafteten Informationen jedes Mal in eine Textdatei zu schreiben, wenn Splunk eine Suche nach dieser Datei durchführt und die Ergebnisse anzeigt. Was ist dein Endziel hier? Möchten Sie ein "lebendes Dashboard" erstellen, das den Status eines Features anzeigt?