如何将一个值与第二个查询的匹配数进行比较?
How to compare a value with the number of matches for a second query?
"daily unique entry text"
| spath input=stats
| where ('expectedCount' != _???_)
我有一个每日唯一的日志条目,其中说明了当天将处理的 expectedCount 个项目。
假设这个每日条目包含唯一文本 daily unique entry text,并且每次成功处理一个项目时,我都会记录 item processed。
我想要一个警报,当 expectedCount 不等于当天的 item processed 日志条目数时触发。
这可以用 _???_ 上的东西来完成吗?或者:最好的方法是什么?提前致谢!
index=* "item processed" | stats count | append [ search index=* "daily unique entry text" | spath input=stats | fields expectedCount ] | stats values(count) as c, values(expectedCount) as ec | where c != ec
我认为这是最直接的方法,但还有其他方法。第一次搜索只是获取所有已处理项目的计数。您可能需要将其限制为所需的一天。然后我们附加另一个搜索,它只是预期计数的值。我们使用另一个 stats 命令来获取实际计数值和预期计数值。然后,比较一下
"daily unique entry text"
| spath input=stats
| where ('expectedCount' != _???_)
我有一个每日唯一的日志条目,其中说明了当天将处理的 expectedCount 个项目。
假设这个每日条目包含唯一文本 daily unique entry text,并且每次成功处理一个项目时,我都会记录 item processed。
我想要一个警报,当 expectedCount 不等于当天的 item processed 日志条目数时触发。
这可以用 _???_ 上的东西来完成吗?或者:最好的方法是什么?提前致谢!
index=* "item processed" | stats count | append [ search index=* "daily unique entry text" | spath input=stats | fields expectedCount ] | stats values(count) as c, values(expectedCount) as ec | where c != ec
我认为这是最直接的方法,但还有其他方法。第一次搜索只是获取所有已处理项目的计数。您可能需要将其限制为所需的一天。然后我们附加另一个搜索,它只是预期计数的值。我们使用另一个 stats 命令来获取实际计数值和预期计数值。然后,比较一下