问题标签 [splunk-calculation]

问问题

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

72 问题

0 投票

1 回答

1481 浏览

splunk - Splunk 查询一个时间范围内条目总和的划分

我在 Splunk 日志消息中具有以下格式：

LogService 产品id=1 价格=10.00 numberOfClients=4 利润=5.00

我需要创建一个查询来查找最后一天的所有记录并计算：

总和（价格 * 客户数量）/总和（利润），

如果结果不在 [0.2, 0.8] 范围内，则会触发警报，其中 sum 是所有记录消息的值的总和。

我尝试了几种方法，但没有奏效。请指教。

splunk splunk-query splunk-sum splunk-calculation splunk-formula

2017-01-20T22:01:18.880

0 投票

1 回答

2653 浏览

logging - Splunk 日志 - 日期比较

我已经通过 splunk 配置了我的应用程序日志，并且想要执行以下操作 -

当字符串具有今天的日期时获取事件
当字符串具有明天的日期时获取事件。

我试图为#1 编写如下查询，但它似乎没有返回任何内容

我的搜索字符串是 REGAVAIL，所有事件都采用以下格式 -

REGAVAIL|00958645030|8871|1|61745|01262017|0|N|N|Y|N|Y|N|N|O|O|O|O|O|O|O|1013|F REGAVAIL|00958647200|8871 |1|61745|01282017|0|N|N|Y|N|Y|N|N|O|O|O|O|O|O|O|1013|F REGAVAIL|00958649200|8871|1|61745| 01292017|0|N|N|Y|N|Y|N|N|O|O|O|O|O|O|O|1013|F

我想先从中提取日期 - 01262017，然后将其与今天的日期进行比较。如果找到匹配项，则应考虑该事件。

任何帮助，将不胜感激！

logging splunk splunk-calculation splunk-query

2017-01-23T12:30:15.860

0 投票

1 回答

1107 浏览

splunk - 在 splunk 中，如何为个人创建 Private Lookup 表？

因为我正在从事网络安全项目。我需要为个人用户创建私有查找表，这样任何其他用户都不应该看到其他用户查找表的内容。我通过以下方式创建了查找表：

这12_april_lookup.csv在.../my_app/lookup/ folder. 此时此查找表权限是私有的。

但是，当我通过以下搜索命令将一些数据添加到查找表时：

然后文件将在具有全局权限的其他应用程序文件夹中创建。现在所有用户都可以通过以下方式查看文件内容

splunk splunk-query splunk-calculation splunk-formula splunk-sum

2017-04-16T17:51:47.687

0 投票

2 回答

797 浏览

splunk - 当“top”命令中使用多个字段时，splunk 计数是多少？

当我在 splunk 搜索头中键入此搜索查询时：

Splunk 会自动将计数列添加到结果表中。现在，这个计数是多少？它是每个字段计数的简单总和吗？

splunk splunk-query splunk-calculation

2017-07-28T17:02:40.790

0 投票

1 回答

7480 浏览

splunk - 如何在 Splunk 中计算准确的第 99.9 个百分位数

有谁知道如何准确计算 Splunk 中的第 99.9 个百分位数？

我尝试了以下各种方法，例如exactperc（但这只需要整数百分位数）和perc（但这非常接近结果）。

谢谢，詹姆斯

splunk percentile splunk-query splunk-calculation

2017-07-31T15:58:18.133

0 投票

1 回答

145 浏览

splunk - 在查询中显示 splunk 中的选择性字段

我正在尝试在某些服务端点的 splunk 中创建一个表以及每个端点所花费的计算时间，现在我想根据时间显示选定的端点的问题。这是我为显示字段而编写的查询。

只有当它们超过 1 秒时才应该只显示端点。

splunk splunk-query splunk-calculation splunk-formula splunk-sum

2017-08-07T14:50:28.493

0 投票

2 回答

420 浏览

splunk - Splunk 搜索问题

以下搜索会返回相同的结果吗？

搜索 1：ssh error
搜索 2：ssh AND error
以下搜索不会返回相同的结果吗？

搜索 1：purchase
搜索 2：action=purchase

splunk splunk-query splunk-calculation splunk-formula

2017-09-23T19:34:40.163

0 投票

1 回答

347 浏览

splunk - 带邮政编码的 Splunk 地图

我是 Splunk 的新手。我想使用邮政编码或城市创建地图。我使用以下查询来获取邮政编码和城市：

上述查询的输出如下：

我想知道如何使用上述数据绘制 Splunk 地图。请帮助我做到这一点。

注意：我没有任何纬度/经度数据。

splunk splunk-query splunk-calculation

2017-10-11T08:26:19.603

0 投票

2 回答

3969 浏览

duplicates - Splunk Dedup by _time 并将一个字段的值组合成一个事件

我正在使用 Exchange 2010 数据。我有 MessageID、Sender、Recipients 和 _time。根据事件类型，可以拆分收件人（即，给定消息的所有收件人不包括在事件中，而是拆分为多个事件）。以下是数据示例：

我使用此查询通过 MessageID 和 Sender 将多个 Recipients 值组合成一个事件：

这导致：

_time 未填充，因为values如果 _time 包含在by语句中，则不会工作，因为特定 MessageID 的每个事件都发生在不同的时间。因此，我需要以某种方式dedup同时获取 MessageID（以获取最新的 _time）并填充 Recipients 值。

我试过这个：

但这也不起作用，它会导致 recip 没有被填充：

我想要的输出如下所示：

我应该如何做到这一点？

duplicates splunk splunk-query splunk-calculation

2017-11-21T03:45:29.457

0 投票

0 回答

841 浏览

splunk - 如何比较两个或多个字段值

我有这样的数据：

事件 1：field_name=field_value，status="process"，status_file="file_name"

事件 2：field_name=field_value，status="send"，status_file="file_name"

事件 3：field_name=field_value、transfer_status="transferred"、transfer_file="file_name"

事件 4：field_name=field_value，fatal_type1 = "reason1"，fatal_type1_file="file_name"

事件 5：field_name=field_value，fatal_type2 = "reason2"，fatal_type2_file="file_name"

从上面所有事件的共同值是 file_name 其余的都是不同的。如果文件名与其他文件类型匹配，它应该列出我想要的所有报告，如下所示

文件名、文件类型、文件类型计数

abfskjsfjskjjv，{进程，发送，转移，reason2}，4

hrhashlahsf,{过程, reason1}, 2

fhkawuruhshfhuaf,{处理、发送、转移}, 3

splunk splunk-query splunk-formula splunk-calculation splunk-sdk

2018-01-30T20:05:50.013

1 2 3 4 5 6 7 8 9 10