问题标签 [splunk-calculation]

我来自 splunk 团队，我们注意到不属于 splunk 团队的人，他们正在对现有仪表板进行更改，而没有通知我们..我们该如何解决这个问题？如果是的话，我们可以在任何仪表板上进行任何更改后获取通知，那么如何？请帮忙。

我有一个显示延迟数据的表，现在我想编写一个警报查询，当请求（方法 + uri）的中位数高于 3000 毫秒（3 秒）时会发出警报

我用于该延迟表的查询是：

这会生成一个表格，显示基于方法 + uri 的中值延迟例如：

• POST /第一个端点 1000
• GET /第二个端点 2000
• 删除 /第三端点 1500
• POST /第四端点 4000
• 获取 /第五端点 4500

现在我正在尝试创建一个查询，该查询将仅显示具有高于 3 秒的高中值延迟的方法 +uris，以便我可以创建警报，以提醒 splunk 哪些端点具有高延迟这是我尝试过的：

应该显示这个：

• POST /第四端点 4000
• 获取 /第五端点 4500

但是它只显示与第一个查询相同的结果

我有 20 个索引，我们希望以分组方式在下拉列表中显示它们。我们如何在查询中对它们进行分组？例如：-

index1,Index2,index3 应该带有名称 abc.... 索引 4、索引 2、索引 5 应该带有名称 efg...

所以在下拉菜单中，我们应该只看到 abc 和 efg 的值。所以一旦选择 abc，下面的面板应该相应地显示图形..

我正在尝试通过 splunk 编写查询以查找用于在 Linux 中进行身份验证的 SSH 日志。关于作家实现这一目标所需的查询的任何想法？我是 splunk 的新手，所以任何信息都会有所帮助。

这是我已经开始但无济于事的：

sshd“无效用户”不是端口不是“preauth]”| iplocation 无效SSHIP

我正在尝试根据此搜索创建一个气泡图，如下图所示。

我尝试了不同的方法来创建类似于下面编辑过的气泡图图像，但到目前为止没有成功。我希望这里有人可以帮助我实现这一目标，如果可能的话？

我可以看到我可能需要在自己的列中获取事件代码，并且可能与计数相同......但是如何？

我在一个索引（Student_Entry）中有 4 个字段（Name、、、、）age，我想添加事件总数，但我想排除那些在主题字段中具有任何值的事件。classsubject

我尝试了以下两种方法

嗨有一个像这样的事件如下所示

今天的问候信息=Hello|myname|name|is|Alice|myName|is|bob"}

我如何计算message=直到"}之间的单词数。我有一个|分隔符应该可以帮助我计算两者之间的单词数。但是对于每个计数，我想添加一个特定的数字

例如上面的日志我会得到 8 个单词作为计数基于| 分隔器。但是对于每个计数，我想添加一些新数字，例如 8+2，并将值更新为新的 splunk 字段。

这将有助于计算是否有任何事件超过该值的阈值，然后我可以触发警报。

有人请帮助我得到这个。

如果服务器日志中出现新错误，我希望在 splunk 中触发警报。新错误是过去一周内服务器日志中不存在的错误。我有日志索引索引 = Serverlogs1。

请帮忙！

嗨，我在 splunk 中有一些具有这种形式的事件-

位置：一些值（相同的值可以在多个事件中存在）

客户端：一些值（相同的值可以在多个事件中存在）

TransactionNumber：某个值（每个事件唯一）

交易时间：一些价值（每个事件唯一）

现在我想要一个这种形式的表格 -

基本上每个位置可以有多个客户端，每个客户端可以有不同的事务。交易号和交易时间是唯一的，并且具有一对一的映射关系。

我在 splunk- 中使用这个查询

| stats list(TransactionNumber) list(TransactionTime) by Location Client

发生的事情是我获得了位置和客户的独特组合，但我想要的是针对特定位置列出的独特客户。

这就是我得到的-

如何修改查询以达到相同的效果？

我在 Splunk 中有以下事件：

我的问题是如何计算每个主机和每种警报类型的事件持续时间记录，例如，从上述事件中，我将通过算法获得以下内容，而不仅仅是硬编码特定示例中的值：

其中 start 是第一次发出主机警报的最早时间，而 end 是清除同一警报/主机的时间。

我的第二个问题是如何在那些封闭的跨度中找到最大的持续时间跨度，忽略那些没有结束时间的。

我的问题是如何在 Splunk 的框架内实现？