Splunk: インシデント期間記録を計算するには?
Splunk には次のイベントがあります:
_time Agent_Hostname alarm status
2020-08-23T03:04:05.000-0700 m50-ups.a_domain upsAlarmOnBypass raised
2020-08-23T03:07:16.000-0700 m50-ups.a_domain upsTrapOnBattery raised
2020-08-23T03:07:16.000-0700 m50-ups.a_domain upsAlarmInputBad raised
2020-08-23T03:07:39.000-0700 m50-ups.a_domain upsAlarmOnBypass raised
2020-08-23T03:07:39.000-0700 m50-ups.a_domain upsAlarmLowBattery raised
2020-08-23T03:08:17.000-0700 m50-ups.a_domain upsTrapOnBattery raised
2020-08-23T03:09:24.000-0700 m50-ups.a_domain upsTrapOnBattery raised
2020-08-23T03:10:31.000-0700 m50-ups.a_domain upsAlarmOnBattery cleared
2020-08-23T03:10:32.000-0700 m50-ups.a_domain upsAlarmInputBad cleared
2020-08-23T03:11:12.000-0700 m50-ups.a_domain upsAlarmLowBattery cleared
2020-08-23T03:19:06.000-0700 m50-ups.a_domain upsAlarmInputBad raised
2020-08-23T03:19:06.000-0700 m50-ups.a_domain upsTrapOnBattery raised
2020-08-23T03:19:13.000-0700 m50-ups.a_domain upsAlarmLowBattery raised
2020-08-23T03:20:10.000-0700 m50-ups.a_domain upsTrapOnBattery raised
2020-08-23T03:21:16.000-0700 m50-ups.a_domain upsTrapOnBattery raised
2020-08-23T03:22:22.000-0700 m50-ups.a_domain upsTrapOnBattery raised
2020-08-23T03:23:29.000-0700 m50-ups.a_domain upsTrapOnBattery raised
2020-08-23T03:24:28.000-0700 m50-ups.a_domain upsAlarmInputBad cleared
2020-08-23T03:24:28.000-0700 m50-ups.a_domain upsAlarmOnBattery cleared
2020-08-23T03:25:09.000-0700 m50-ups.a_domain upsAlarmLowBattery cleared
2020-08-23T03:25:58.000-0700 m50-ups.a_domain upsAlarmOnBypass cleared
私の問題は、各ホストおよび各アラーム タイプのインシデント期間の記録をどのように計算するかです。たとえば、次のようになります。 上記のイベントから、特定の例の値をハードコード化するだけでなく、アルゴリズムを通じて次のようになります。
start end Agent_Hostname alarm
2020-08-23T03:04:05.000-0700 2020-08-23T03:25:58.000-0700 m50-ups.a_domain upsAlarmOnBypass
2020-08-23T03:07:16.000-0700 m50-ups.a_domain upsTrapOnBattery
2020-08-23T03:07:16.000-0700 2020-08-23T03:24:28.000-0700 m50-ups.a_domain upsAlarmInputBad
2020-08-23T03:07:39.000-0700 2020-08-23T03:25:09.000-0700 m50-ups.a_domain upsAlarmLowBattery
ここで、start はホストのアラームが最初に発生する最も早い時間です。 end は、同じアラーム/ホストがクリアされる時刻です。
2 番目の問題は、終了時間のないものを無視して、囲まれた範囲の中で最大の期間を見つける方法です。
私の質問は、Splunk のフレームワーク内でどのように達成できるかということです。
------------------------
トランザクション コマンドは、そのほとんどを処理できます。唯一できないのは、未処理のアラームを表示することです。
| makeresults
| eval _raw="time Agent_Hostname alarm status
2020-08-23T03:04:05.000-0700 m50-ups.a_domain upsAlarmOnBypass raised
2020-08-23T03:07:16.000-0700 m50-ups.a_domain upsTrapOnBattery raised
2020-08-23T03:07:16.000-0700 m50-ups.a_domain upsAlarmInputBad raised
2020-08-23T03:07:39.000-0700 m50-ups.a_domain upsAlarmOnBypass raised
2020-08-23T03:07:39.000-0700 m50-ups.a_domain upsAlarmLowBattery raised
2020-08-23T03:08:17.000-0700 m50-ups.a_domain upsTrapOnBattery raised
2020-08-23T03:09:24.000-0700 m50-ups.a_domain upsTrapOnBattery raised
2020-08-23T03:10:31.000-0700 m50-ups.a_domain upsAlarmOnBattery cleared
2020-08-23T03:10:32.000-0700 m50-ups.a_domain upsAlarmInputBad cleared
2020-08-23T03:11:12.000-0700 m50-ups.a_domain upsAlarmLowBattery cleared
2020-08-23T03:19:06.000-0700 m50-ups.a_domain upsAlarmInputBad raised
2020-08-23T03:19:06.000-0700 m50-ups.a_domain upsTrapOnBattery raised
2020-08-23T03:19:13.000-0700 m50-ups.a_domain upsAlarmLowBattery raised
2020-08-23T03:20:10.000-0700 m50-ups.a_domain upsTrapOnBattery raised
2020-08-23T03:21:16.000-0700 m50-ups.a_domain upsTrapOnBattery raised
2020-08-23T03:22:22.000-0700 m50-ups.a_domain upsTrapOnBattery raised
2020-08-23T03:23:29.000-0700 m50-ups.a_domain upsTrapOnBattery raised
2020-08-23T03:24:28.000-0700 m50-ups.a_domain upsAlarmInputBad cleared
2020-08-23T03:24:28.000-0700 m50-ups.a_domain upsAlarmOnBattery cleared
2020-08-23T03:25:09.000-0700 m50-ups.a_domain upsAlarmLowBattery cleared
2020-08-23T03:25:58.000-0700 m50-ups.a_domain upsAlarmOnBypass cleared"
| multikv forceheader=1
| eval _time=strptime(time,"%Y-%m-%dT%H:%M:%S.%3N%z")
| fields _time Agent_Hostname alarm status
```Everything above just defines test data - Remove Before Flight```
```Omit the reverse command if events are in descending order (the default)```
| reverse
```Set the start and end times based on status```
| eval start=if(status="raised",_time, NULL), end=if(status="cleared",_time, NULL)
```Define transactions based on "raised/cleared" pairs within host and alarm names```
| transaction Agent_Hostname alarm startswith="raised" endswith="cleared"
```Change duration display to hh:mm:ss```
| fieldformat duration=tostring(duration,"duration")
| table start end Agent_Hostname alarm duration
5
対応する終了イベントがないイベントを保持するには、トランザクションの keeporphans パラメータ | を使用します。トランザクション Agent_Hostname アラームは ="raised" で開始しますendwith=「クリア済み」 keeporphans=true
– サイモン・ダフ2020 年 9 月 4 日 1:08
1
試してみましたが、期待した結果が得られませんでした。
– リッチG2020 年 9 月 4 日 11:50
@RichG トランザクションの強力なツールを示したので、複数のポイントを与えたいと思います。非常に印象的なソリューションです。
– ユウ・シェン2020 年 9 月 4 日 23:54
また、トランザクションに keeporphans=true を追加した結果、トランザクションとしてグループ化されるイベントがほとんどなかったことにも驚きました。
– ユウ・シェン2020 年 9 月 5 日 0:41
トランザクション コマンドは強力ですが、大きな力には大きな責任が伴います。これはリソースを大量に消費する可能性があるため、必要な場合にのみ使用します。
– リッチG2020 年 9 月 5 日 16:17
新着記事:
android - ユーザーを Google Play に送ってアプリを評価するにはどうすればよいですか?selenium - RobotFramework を使用してインライン JS スクリプト タグから値を抽出するgo モジュールのバージョンによって go.sum に 2 行が必要になる場合があるのはなぜですかkivy pip のインストールが git リポジトリではないと言って失敗するPython – pandas apply関数を最適化する方法Reactjs - React の選択オプションの変更に基づいてラジオ ボタンが正しく更新されないGoogle Apps Scriptを使用してプラットフォームREST APIをPARSEするためのPOSTおよびGETリクエストを使用する方法JavaScript - 複数のコンポーネントから props を展開するr - 異なるサイズの関連リスト列のネストを解除するSpring Boot でリクエストの「一般的な」ロギング ソリューションを作成しようとしていますLinux - GDBコアダンプでスレッドの開始時間を取得する方法はありますかJavaScript - Socket.io チャットルームにスパム対策を設定するにはどうすればよいですか?