Splunk Protokollierung mit der Transaktion

Question

1) ich die Anzahl der Vorkommen der HTTP-URL mit p (95) Reaktionszeit für URL-Aufruf zählen möge: https://example.net/v1/abc/xyz mit dem Antwortcode als 200 oder 500 2) Die Reaktionszeit ist die Unterschied der Zeitstempel s/w Zeile 6 & 3. 3) Sowohl der URL-Aufruf & Status-Code tritt für den gleichen Thread, der Thread-30_Server_1 ist und immer das nächste Vorkommen sein sollte Wenn Sie beide Ereignis 1 & Ereignis 2 mit demselben Thread auftreten, aber der Antwortstatuscode sollte immer sequenziell sein. So ist die splunk Suche sollte als 200 Ereignis 1 mit Status zurück, wo-als Ereignis 2 mit Stand 350

Unterhalb der Extrakt aus den Protokollen ist: Ereignis 1:

Line1) 2017-11-10 03:05:38,826 10606295 INFO (Thread-30_Server_1:) :Url in else part is:https://example.net/v1/abc/xyz 
Line2) 2017-11-10 03:05:38,826 10606295 INFO (Thread-30_Server_1:) %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% 
Line3) 2017-11-10 03:05:38,826 10606295 INFO (Thread-30_Server_1:) HTTP url : https://example.net/v1/abc/xyz 
Line4) 2017-11-10 03:05:38,826 10606295 INFO (Thread-30_Server_1:) Body: [{"itemID":"42650750083","uom":"EACH","toZipCode":"112173111","qty":1,"channel":"dotcom"}] 
Line5) 2017-11-10 03:05:38,826 10606295 INFO (Thread-30_Server_1:) %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% 
Line6) 2017-11-10 03:05:39,012 10606481 INFO (Thread-30_Server_1:) :Status Code is:200 
Line7) 2017-11-10 03:05:39,012 10606481 INFO (Thread-30_Server_1:) :Status message is:"Success" 
Line8) 2017-11-10 03:05:39,012 10606481 INFO (Thread-30_Server_1:) Exit call and 3 

Ereignis 2:

Line101) 2017-11-10 03:05:39,364 10606833 INFO (Thread-30_Server_1:) Enter call with 5 attributes 
Line102) 2017-11-10 03:05:39,364 10606833 INFO (Thread-30_Server_1:) %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% 
Line103) 2017-11-10 03:05:39,364 10606833 INFO (Thread-30_Server_1:) HTTP url : https://example.net/v2/mmm/nnn 
Line104) 2017-11-10 03:05:39,364 10606833 INFO (Thread-30_Server_1:) %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% 
Line105) 2017-11-10 03:05:39,442 10606911 INFO (Thread-30_Server_1:) #################################################################### 
Line106) 2017-11-10 03:05:39,442 10606911 INFO (Thread-30_Server_1:) Output from Server 
Line107) 2017-11-10 03:05:39,442 10606911 INFO (Thread-30_Server_1:) {"status":350,"message":"Success","body":[{"shortageQty":0,"reservedQty":1,"partiallyReservedQty":0,"problemType":"SUCCESS"}}]} 
Line108) 2017-11-10 03:05:39,442 10606911 INFO (Thread-30_Server_1:) #################################################################### 
Line109) 2017-11-10 03:05:39,442 10606911 INFO (Thread-30_Server_1:) :Status Code is:350 
Line110) 2017-11-10 03:05:39,442 10606911 INFO (Thread-30_Server_1:) :Status message is:"Success" 
Line111) 2017-11-10 03:05:39,442 10606911 INFO (Thread-30_Server_1:) Exit call 

Answer 1

Zunächst einmal, warum ist Ihr Splunk Zeitstempel anders als die Protokolle Zeitstempel? Sie müssen Basiskonfigurationen in Ihrer reps.conf für die richtige Titestamping und Zeilenumbruch anwenden. Ich würde dieses Problem lösen, bevor ich etwas anderes mache.

Sie zweiten Abschnitt mit Kombination von 2 Linien zu einem einzigen Ereignis gelöst werden könnte dann das Hinzufügen einer where Klausel nur Ereignisse zurückzukehren sowohl mit status = 200 AND status = 350