#splunk
Вопрос:
Используя приведенный ниже запрос, чтобы получить список всех сообщений с ключевым словом «большой раздел».
index="*-mycass-db" "large partition"
Получает массу событий ниже, хочет найти события в порядке убывания размера таблицы (100,803 МБ в этом примере), я в порядке с получением события с самым большим размером. Как отсортировать события по размеру в этом сообщении? Возможно ли это вообще? Извините, что я мало знаком с запросами Splunk.
WARN [CompactionExecutor:111575] 2021-09-22 19:49:47,738 BigTableWriter.java:211 - Writing large partition keyspacename/tablename:xxxxxxx-yyyyy-zzzz-b6d4-1f4d3893e104:DOMAINDATA:REALTIME_EVENT_DATA (100.803MiB) to sstable /data/cassandra/data/keyspacename/tablename-aaaaaaaaaaaaaaabbbbbbbbbb/mc-17858-big-Data.db
host = myhost.mydomain source = /data/cassandra/logs/system.logsourcetype = cassandra:cluster:system
Ответ №1:
Первым шагом является извлечение размера таблиц из событий. Затем вы можете отсортировать их по размеру.
index="*-mycass-db" "large partition"
| rex "((?<size>d .d )MiB"
| sort - size