0

基于以下条目:

ORDER=entry1 USER=user1 EP=endpoint1 TIME=10:00
ORDER=entry2 USER=user2 EP=endpoint1 TIME=10:01
ORDER=entry3 USER=user1 EP=endpoint1 TIME=10:05
ORDER=entry4 USER=user2 EP=endpoint1 TIME=11:00

我想编写一个 Splunk 查询,该查询将列出同一用户对端点 1 的所有调用,时间间隔小于 30 分钟。

查询的输出将是

ORDER=entry3 USER=user1 EP=endpoint1 TIME=10:05

因为只有 entry3 是由同一用户在小于 30 分钟的时间间隔内完成到该端点的。

我尝试编写查询,但我不知道如何将其提供给普通用户。我的查询有效,但它们是针对特定用户的。

我怎样才能使它通用?

4

1 回答 1

0

我得到它的方法是添加一个虚拟字段,它是 USER 和 EP 的串联,如本文档所示:https ://answers.splunk.com/answers/33738/concatenate-fields-into-a-single-字符串.html

我提出的查询是:

"endpoint1" | eval USEREP = USER.";".EP | transaction USER maxspan=30min
于 2017-02-07T00:39:48.550 回答