Новичок: запрос на основе строки - больше х раз

Question

Мы делаем мониторинг производительности на наших серверах и ведение журнала захвата записей, где конец записи имеет строку:

execution time: X ms 

(где Х число).

Я пытаюсь написать запрос, чтобы показать что-либо большее, чем 5 мс.

Я искал на форумах и просматривал документы и советы по поиску, но, похоже, мои поиски не очень продуманы, и ничего, что я нашел, не имеет отношения к делу.

Оценивается любая помощь или смещение.

Answer 1

Я знал, что как только я опубликую, я найду свой ответ. Тем, кому интересно:

index=foo sourcetype=foo_log "execution time" |rex field=_raw "execution time: (?<perftime>.*) ms" | bin _time span=5m | search (perftime > 5) 

Это может быть не совсем правильно, но я получаю совпадения, которые мне нужны. Если есть лучший способ, не стесняйтесь меня исправлять.