如何从搜索返回的 splunk 事件列表中获取特定 splunk 事件的 URL?
如果这是不可能的,并且我需要创建一个只返回该事件的搜索,那么我可以在查询中使用的每个事件是否有一些唯一的 ID?
问问题
2934 次
2 回答
3
在您的搜索结果中,单击活动时间。在出现的弹出窗口中,单击“此时”。这将创建另一个搜索,只选择这个事件。现在您可以像往常一样共享您的搜索,例如通过从浏览器的导航栏中复制链接。
于 2020-07-02T12:35:15.997 回答
1
您可以使用条件链接来链接到列表中的特定事件。
该<condition>元素允许您获取特定事件或其他值,并使用该值来构建您的链接。
这是 Splunk条件链接文档中的一个示例:
<drilldown>
<condition field="A">
<link>[target_URL]?q=$[value_from_field_A]$</link>
</condition>
<condition field="B">
<link>[other_target_URL]?q=$[value_from_field_B]$</link>
</condition>
</drilldown>
根据您要定位的事件,您可以使用特定于该事件的值(时间戳、源等)来构建链接。
于 2017-11-07T14:49:15.137 回答