插图搜索查询中的DateTime格式搜索

Question

我的闪存日志中有"YYYY-MM-DD HH:MM:SS.QQ ERROR“。现在我想在我的splunk日志中搜索类似的日期模式以及类似于“2021-Apr-0823:08:23.498 ERROR”的状态，并在错误标签出现在日期旁边时创建警报。这些日期是可更改的，并在运行时生成。

谁能建议我如何在splunk查询中检查日期时间格式和状态。

Answer 1

在标题中，您提到了Amazon Web Services。如果您的事件是实际的亚马逊网络服务日志数据，您可以安装Splunk Add-on for Amazon Web Services：https://splunkbase.splunk.com/app/1876/

这个附加组件附带了大量的字段提取。安装附加组件后，您所需做的就是查看事件以找到状态文本的正确字段名，然后搜索status=ERROR。

或者，您可以自己创建字段提取。此正则表达式应执行以下操作：

(?<date>\d\d\d\d-\w+-\d\d\s+\d\d:\d\d:\d\d\.\d\d\d)\s+(?<status>\w+)

你可以在这里测试它：https://regex101.com/r/pVg1Pm/1

现在使用Splunk的rex命令在搜索时提取字段：

​

​

要自动完成字段提取，您可以通过设置/字段/字段提取添加新的字段提取。