0

嗨有一个像这样的事件如下所示

今天的问候信息=Hello|myname|name|is|Alice|myName|is|bob"}

我如何计算message=直到"}之间的单词数。我有一个|分隔符应该可以帮助我计算两者之间的单词数。但是对于每个计数,我想添加一个特定的数字

例如上面的日志我会得到 8 个单词作为计数基于| 分隔器。但是对于每个计数,我想添加一些新数字,例如 8+2,并将值更新为新的 splunk 字段。

这将有助于计算是否有任何事件超过该值的阈值,然后我可以触发警报。

有人请帮助我得到这个。

4

1 回答 1

0

您可以尝试以下操作,将字符串拆分为每个单词的多值字段,然后计算该字段中值的数量。然后,您可以根据需要在末尾添加任何数字。

| eval msg_mv=split(msg,"|")
| eval words = mvcount(msg_mv)-1
| eval final_count = words+2
于 2020-07-28T22:42:38.127 回答