问题标签 [splunk-calculation]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
splunk - 使用 Splunk 识别相对不寻常的分类事件
我从 Splunk 开始并尝试解决问题。我有一个包含数百万条日志记录的数据集。用例是识别特定角色不寻常的事件并突出显示事件和用户。下表给出了数据的快照。任务是附加最后两列,并为每个角色确定发生的附加事件相对低于同一角色中的其他附加事件。
如果我想为角色“提供者”找到异常事件,输出应该是
同样,如果我想找到角色“医师”的异常事件,输出应该是
我也在寻找一种方法来可视化这样的报告。对此的任何帮助都会很棒
splunk - splunk 工作流操作不起作用
我正在尝试使用 splunk POST 工作流操作创建事件。从我尝试触发工作流操作的事件开始,会打开一个新窗口,并且查询字符串会附加到 URL,但字段中未填写值。
如何解决这个问题?
splunk - 如何为 splunk 中的用户列表找到特定事件的首次出现
对于 splunk 中的用户列表,我必须首先发生特定事件。
例如:我有来自另一个查询的用户列表说 10。
我正在使用下面的查询来查找客户 12345 发送的第一封邮件的日期。如何从另一个查询中找到相同的客户列表?
index=abc appname=xyz "12345" "*\"SENT\"}}"|reverse|table_time|head 1
splunk - 如何在 Splunk 中解析 JSON 指标数组
我从 API 收到以下格式的 JSON:
当前尝试在线性图表上显示这些指标,X 轴为 dateTime,Y 轴为“s”。
我使用以下搜索查询:
我收到以下格式的数据,不适用于线性图表。关键是 - 如何正确解析 JSON 以将日期时间从dateTime
JSON 中的字段应用到_time
Splunk。
splunk - 仅使用单个值提取特定字段值
需要提取只发送了一条短信(已接收)并且也“停止”的客户 msisdn(发件人)。日志如下 -
2018 年 5 月 27 日晚上 11:38:29.598 [2018-27-05 23:38:29.598 UTC] INFO pool-1-thread-3 [receivedSmsFileLogger] - 收到 = “JE S8 TELMA MALADE”,发件人 = “0765473387” , 有效 = "false" 主机 = Vapp01SN 源 = D:\MIP\Logs\SMSC\Cycle1\received_sms.log 源类型 = MIP_Received_SMS
2018 年 5 月 27 日晚上 9:28:30.569 [2018-27-05 21:28:30.569 UTC] INFO pool-1-thread-2 [receivedSmsFileLogger] - 收到 = "''STOP''",发件人 = "0765757431 ", 有效 = "false" 主机 = Vapp01SN 源 = D:\MIP\Logs\SMSC\Cycle1\received_sms.log 源类型 = MIP_Received_SMS
5/27/18 9:26:25.034 PM [2018-27-05 21:26:25.034 UTC] INFO pool-1-thread-1 [receivedSmsFileLogger] - 接收 =“1OUI”,发件人 =“0765757431”,有效 = “假”主机 = Vapp01SN 源 = D:\MIP\Logs\SMSC\Cycle1\received_sms.log 源类型 = MIP_Received_SMS
2018 年 5 月 27 日晚上 9:06:36.889 [2018-27-05 21:06:36.889 UTC] INFO pool-1-thread-3 [receivedSmsFileLogger] - 接收 =“STOP”,发件人 =“0766108902”,有效 = “真实”主机 = Vapp01SN 源 = D:\MIP\Logs\SMSC\Cycle1\received_sms.log 源类型 = MIP_Received_SMS
splunk - 当每个字段都是列表时,需要 Splunk 查询来查找两个字段之间的共同元素
我将每个事件都作为一个 JSON 对象,下面由 Splunk 索引。我怎样才能有一个 Splunk 查询,以便我发现所有这些故障都发生在数组"failed"
和"passed"
数组中?
对于上面的示例,结果将是"fail_2"
。
splunk - Splunk 如何组合两个查询并得到一个答案
我对 Splunk 还很陌生,基本上被彻底抛弃了!!对语言也很陌生,所以下面的任何帮助和提示都会很棒。
我想要得到的结果是加入查询并获取用户名、ID 和登录次数。
查询来自差异源、源类型和主机。
查询 1 是用户名和 ID,查询 2 是用户名和登录次数。
查询一:userName=" " entityNumber=" " | 评估用户名=上(用户名)| 去重用户名,实体号 | 将用户名重命名为用户 | 表用户,实体编号
查询2:“登录成功。” | rex field=_raw "用户[\":] (?[^\"IP] )"| 评估用户=上(用户)| 表用户 | 按用户统计
在此先感谢您的帮助。Ĵ
java - splunk 检查消息是否包含某些字符串
在 Splunk 搜索查询中如何检查日志消息是否有文本?
日志消息:
我想检查消息是否包含“连接成功,创建遥测消费者......”并基于此希望将 1 或 0 分配给变量
Splunk 搜索查询
success_status_message 始终为空
splunk - Splunk - 减去两个计数并触发警报
我正在尝试找到有关以下内容的适当 Splunk 文档,但这似乎非常困难。我需要做的在概念上很简单:我想找出连续两天某些事件的数量并减去它们(只需减去数字)。例如,我需要找出 2 天前发生的对某个网站 ('somewebsite/myaction') c1 的成功 POST 调用 (HTTP 200) 的数量:
另外,我做同样的事情来找出昨天相同类型的事件,我们称之为c2:
现在我需要做的就是找出c1 - c2并在该值高于某个阈值时触发一个事件。我正在尝试这样的事情,但它没有告诉我't':
谢谢,
问候,
索林
附言
我非常接近以下几点:
现在我需要做的就是在警报中表达我希望它在 t 高于阈值时触发(例如 t > 100)。我怎样才能做到这一点 ?