问题标签 [splunk-calculation]

我在 csv(deattackerv1.csv) 中有 221180 个 ips，只有一个字段“ip”.. 我想检查在给定的一个索引中我们是否在 splunk 中对该 ip 有任何命中.. 我们如何实现这一点..

下面是查询..但我收到错误，因为“子搜索产生了 221180 个结果，截断到 maxout 10000。”

索引=*_abc | 搜索 [| inputlookup deattackerv1.csv | 表ip | 将 ip 重命名为 src_ip] | 按 src_ip,index 统计的统计信息

注意：- src_ip 是 index=*_abc 中的一列。

我也在下面尝试过..

索引=*_abc | 统计数据按 src_ip,index | 计为事件计数 附加 [| inputlookup deattackerv1.csv | 表ip | 将 ip 重命名为 src_ip] | eventstats 值（索引）作为索引 | 评估索引=如果（isnull（索引），索引，索引）| 表事件计数 src_ip 索引 | mvexpand 索引 | 统计数据作为源计数值（事件计数）作为 src_ip 索引的事件计数 | 其中 sourcecount > 1 | 表 src_ip 事件计数索引

但收到错误信息消息：[子搜索]：子搜索产生 221180 个结果，截断为 maxout 50000。

我们如何为下面编写正则表达式？

在这里，我只想提取0放在||之前fileId的 .

我有一个 Splunk 查询来根据错误百分比获取前 5 个 API。下面是它的查询

我有 URL，其中用户 ID 介于两者之间，并将这些用户 ID 替换为 * 我使用了 rex 命令，它可以将用户 ID 替换为 *

但问题是它会单独计算它们，因为在 URL 上进行的每次点击的用户 ID 都不同。因此，我的 top5 API 命中输出不同。

例如 URL:/account/user/JHWERTYQMNVSJAIP/email，其中 JHWERTYQMNVSJAIP 是用户 ID，并替换为 *

我得到低于查询的输出

而所有这些 URL 实际上都是一个，并且预期的输出应该像添加 5+4+4 并像这样显示一次

由于每个用户 ID 不同，因此需要单独计算。对此的任何帮助将不胜感激。提前致谢

我是 Splunk 及其应用程序的新手。

我的要求是当 Splunk 获得像“登录成功”这样的特定日志时，我想将整个消息发送到 rest API。

我可以使用调度程序调用 Splunk-Api 并获得结果，但我不想使用任何调度程序。

我们如何在 Splunk 本身中实现这一点。

我有一个要求，我们每天都在获取文件中提到的相应日期的文件：

例如文件名是：

现在我们在这里的要求是添加具有相同日期的文件内容。我们使用的 splunk 查询如下：

但它得到了所有四个文件的组合结果：

我们试图实现的只是具有相同日期的文件内容应该被添加。例如，如果在 test_dev 和 test_prod 中提到日期 08_07_2021，那么只有这两个文件内容应该被添加，并且它应该显示日期为 09_07_2021 的文件的结果和相同的结果。添加加法后，我们应该得到单独的结果。

请注意：我们每天都会收到这些文件。因此每个文件的日期和月份范围会有所不同，我们现在无法更改文件名

我们有什么办法可以完成这项任务，或者如果有人可以帮助我们进行相应的 splunk 查询，将会有很大帮助。

请协助。

我正在使用 API 消耗一些数据，我想计算所有客户花费的平均时间，在每次摄取（特定客户消耗的数据）之后，我为该客户打印时间矩阵。

timechart span=24h avg(total_time)

现在要计算平均值，我不能简单地提取时间字段并执行 avg(total_time)，因为如果客户 A 在 1 小时内完成摄取，而客户 B 需要 24 小时，则客户 A 将被记录 24 次，B 将被记录一次，这让我不准确结果并降低平均值。

如何创建过滤器，假设持续时间为 7 天，因此我只获取特定客户的日志行，该客户在 7 天的时间段内具有最大的总时间。即每个客户一个日志行，该特定客户在 7 天的时间段内具有最大的总时间。

我有一个 splunk 查询，它使用正则表达式在日志中查找最常见的错误。然后我将其显示为条形图。正则表达式返回 10 个错误值。

我想在钻取中使用查询返回的值，以便单击条形图将显示该值的结果

我用于设置令牌的向下钻取 xml 是这个

然后我在钻取查询中使用这个标记

这些错误名称太技术性了，我想在主面板中将它们更改为通用名称并向下钻取。

例如，如果正则表达式返回错误“ID not found”，我想用“Data_error”替换它

我也希望我的头衔用通用名称更改

但问题是当我使用 更改名称时eval，向下钻取查询没有得到实际的错误名称并且搜索失败，因为没有“Data_error”这样的错误。查询需要“未找到 ID”才能运行。

有什么办法可以实现吗？我可以更改我的 searchTerm 的名称，同时在下钻查询中使用旧的 searchTerm 吗？

我有一些来自 Splunk 日志的数据，我需要确定在任何单个事件发生时同时运行的其他请求。

使用以下查询，我能够让它返回一个列，其中包含在我的开始时间和持续时间内同时运行的请求数。

我现在正在尝试调查这些结果中的单个事件。例如，top 事件表示在它运行时，在 20 秒的时间窗口中运行了 108 个并发请求。

如何使用这些数据识别这 108 个事件？

我想它将查询具有特定时间范围范围的事件，但我不确定是否需要检查诸如_time + - 10 seconds查看 20 秒窗口内运行的内容之类的东西？

108 events对于这个顶级示例，只需要更多地了解这背后的数据。我在这里的最终目标是能够向仪表板添加向下钻取，以便当我单击 时108，我可以看到正在运行的那些事件。

从复选框值中，如果我选择多个站点，我想为所有站点显示单独的折线图以获取 avgtrackout 时间。现在的问题是，如果我选择多个站点，它只会通过所有站点的 avgtrackout 值显示一个折线图。

查询：MicronSite IN($site$) index=mtparam sourcetype=CommandTimesByArea | rex field=_raw "Fabwide:AvgTotalTrackoutTime\s+(?\d+)" | 时间表跨度=12h avg(AvgTotalTrackoutTime) aligntime=@d+7h avg(command_time)

例如：从复选框列表中，我选择“F10N”和“F10W”。但在图表中，通过组合这两个站点 avgtotaltrackout 时间值仅显示一行并显示一个图表。我想为两个单独的图表显示单独的 avgtotal trackout 时间值

请帮忙提出这个问题

这是日志的片段：

127.0.0.1 - - [01/Dec/2020:00:00:11 -0500] "GET / url:"api/orderLaptop for customer id 123"
127.0.0.1 - - [01/Nov/2020:00:00: 24 -0500] "GET / url:"api/orderLaptop 用于客户 ID 124"
127.0.0.1 - - [05/Nov/2020:00:00:11 -0500] "GET / url:"api/orderLaptop 用于客户 ID 333"
127.0.0.1 - - [01/Nov/2020:00:00:24 -0500] "GET / url:"api/orderCamera for customer id 124"
127.0.0.1 - - [05/Nov/2020:00: 00:11 -0500] "GET / url:"api/orderCamera for customer id 333"
127.0.0.1 - - [10/Aug/2020:00:00:24 -0500] "GET / url:"api/orderLaptop for客户 id 444"
127.0.0.1 - - [13/Aug/2020:00:00:24 -0500] "GET / url:"客户 id 434 的 api/orderCamera"

是否可以在 Splunk 中生成一份报告，显示客户每月购买了多少笔记本电脑和相机等产品。

我的预期输出应如下所示：

非常感谢。