Splunk игнорирует и усекает тысячи разделительных запятых в автоматически идентифицированном числовом поле

Question

У нас есть выплескивание выписок из журналов, таких как 10 latency = 1,840. Splunk идентифицирует латентность = 1 латентность = 524. Splunk идентифицирует латентность = 524

Splunk идентифицирует задержку как числовую, но принимает значение только как 1 и обрезает другие десятичные значения для случая 1. И поэтому пострадает временной график по его среднему значению. Я надеялся использовать «convert rmcomma», но это не помогло, поскольку поле латентности уже было лишено чисел и запятых перед поставкой для преобразования rmcomma.

Answer 1

Также на: http://answers.splunk.com/answers/232083

Вопрос: "Мы Splunk выплюнуть утверждения журнала" - что это значит? Откуда идет информация?

Я думаю, что Splunk видит запятую как идентификацию «многозначного поля». Администратор Splunk мог изменить, как это анализируется, но не без ответа на мой предыдущий вопрос.

ли это в ваших поисках, чтобы решить эту проблему:

yoursearchhere 
| eval latency=if(mvcount(latency)>1,mvjoin(latency, ""),latency) 
| whateverelse