Как извлечь числовые поля из журнала splunk и создать min, max, avg?

Question

У меня есть эти записи в журнале приложений: API вызов принял 2.340474 секунд

Как извлечь значение времени отклика и генерации мин, макс и Avg статистику?

Я пробовал, но я не получаю никаких результатов API CALL call take | rex "взял: (?. *) seconds" | stats MIN (apitime)

Я думаю, что извлечение поля не работает с моим регулярным выражением. Каким будет правильный способ извлечения времени отклика и генерации статистики?

Answer 1

Вы должны назвать поле в команде рекс:

rex "call took: (?<apitime>.*) seconds" 

Если это все еще не работает, упростить выражение, а затем добавить сложности по кусочкам по мере необходимости. Вы могли бы начать так:

rex "(?<apitime>\w+) seconds" 

Answer 2

Как насчет

API call took | rex field=_raw "call took: (?<apitime>\d+\.\d+) seconds" | stats min(apitime) as min_apitime, max(apitime) as max_apitime, avg(apitime) as avg_apitime