Команда stats не возвращает никаких результатов?

Question

У меня есть следующий запрос:

search (...) AND ERROR 
    | rex field=error "^.*(?<vcbn>Value cannot be null.)$" 
    | stats count(vcbn) by error 

, но по какой-либо причине stats count(vcbn) by error не создает каких-либо результатов.

Кроме того, rex field=error "^.*(?<vcbn>Value cannot be null.)$" не создает новое поле в списке слева от результатов поиска по событию.

Поиск сам по себе возвращает 170 events.

Splunk Версия: 4.3.3

Answer 1

выглядит как команда рекс не в состоянии извлечь во время поиска.

Можете ли вы предоставить пример события журнала регистрации _raw или 'error' из события журнала?

Также см,

http://docs.splunk.com/Documentation/Splunk/6.0.1/SearchReference/Rex

Answer 2

Таким образом, после хорошего немного исследований, я нашел решение. Первая проблема заключалась в том, что я неправильно понял параметр field для команды rex. Это означает, что анализатор был полем до . Следующее, что я должен был сделать, это обязательно использовать символы линии ^ и $. Наконец, я должен был добавить трейлинг .* в микс, чтобы он просматривал все поле _raw.

rex "^.*(?<vcbn>Value cannot be null).*$" 
    | stats count(vcbn) 

ПРИМЕЧАНИЕ._raw поле построен в