问题标签 [splunk-dashboard]

我正在运行一个查询以将 splunk 结果分叉到存储桶中。我想根据它们在磁盘上的大小来划分和计算文件。这可以使用rangemap或来实现eval case。

正如我在这里所读到的，使用eval速度比rangemap. 但是我在使用两者时得到了不同的结果。

这是我正在运行的查询 -

这就是我得到的结果 -

而使用rangemap这是查询 -

我也试过这个范围——rangemap field=SizeInMB "0-150MB"=0-150 "150-200MB"=150-200 "200-300MB"=200-300 "300-500MB"=300-500 "500-1000MB"=500-1000 default="1000MB+"我得到了同样的结果——

两种图像结果都没有太大差异，我们可能可以忍受它 - 但我看到 150-200MB 的范围 - 它是445958 vs 445961，对于 200-300 MB 它是3676 vs 3677，对于 300-500 MB 它是3346 vs 3348。我想了解为什么会有这种差异，我应该更信任哪一个？Speedwiseeval似乎更好，但 datawise 是不是不太正确？

我是 Splunk 和 AWS 的新手。我当前的项目要求是从头开始创建一个 Splunk 仪表板。Cloud Watch 中有一些带有日志流的日志组。现在，有现有的 lambda 函数将日志推送到 Splunk，但我不知道编写 lambdas 的开发人员离开了公司。最后，我想知道如何通过查找充当日志聚合器的现有 lambda 函数来获取 index、source 和 sourceType 参数来编写 Splunk 查询。

我怎样才能做到这一点？

我有许多联网设备，我从中提取温度和湿度数据并将其摄取到 Splunk 中。每个设备都位于一个物理位置，并且大多数（但并非全部）都具有两个传感器。

满足我需求的完美面板是使用单值可视化来显示所有位置所有传感器的当前温度的面板。我可以使用以下查询创建两个不同的面板，但我试图弄清楚是否可以将它们组合起来以创建一个仪表板面板。

和

虽然我可以使用柱形图轻松地显示数据，但带有颜色和迷你图的单个值非常适合我的用例。我已经尝试了很多东西，但还没有设法弄清楚。我认为在这一点上，答案要么非常简单，要么不可能。

我正在尝试将安全洋葱收集的原始数据转发到以独立模式安装的 Splunk 服务器

我有一个 Splunk 查询来根据错误百分比获取前 5 个 API。下面是它的查询

我有 URL，其中用户 ID 介于两者之间，并将这些用户 ID 替换为 * 我使用了 rex 命令，它可以将用户 ID 替换为 *

但问题是它会单独计算它们，因为在 URL 上进行的每次点击的用户 ID 都不同。因此，我的 top5 API 命中输出不同。

例如 URL:/account/user/JHWERTYQMNVSJAIP/email，其中 JHWERTYQMNVSJAIP 是用户 ID，并替换为 *

我得到低于查询的输出

而所有这些 URL 实际上都是一个，并且预期的输出应该像添加 5+4+4 并像这样显示一次

由于每个用户 ID 不同，因此需要单独计算。对此的任何帮助将不胜感激。提前致谢

我在仪表板中有 3 个面板 - 面积图（从服务器日志中填充数据）、条形图（从访问日志中填充数据）和一个面板，当我们单击图表中的数据点时，它会显示搜索结果。当我单击面积图中的数据点时，搜索工作正常并更新名为 DataPanel 的面板。但是，当我单击条形图上的数据点时，它会弄乱所有数据并多次显示相同的数据。下面是我目前正在使用的 xml。

请提供任何建议来修复搜索。

我有一个要求，我们每天都在获取文件中提到的相应日期的文件：

例如文件名是：

现在我们在这里的要求是添加具有相同日期的文件内容。我们使用的 splunk 查询如下：

但它得到了所有四个文件的组合结果：

我们试图实现的只是具有相同日期的文件内容应该被添加。例如，如果在 test_dev 和 test_prod 中提到日期 08_07_2021，那么只有这两个文件内容应该被添加，并且它应该显示日期为 09_07_2021 的文件的结果和相同的结果。添加加法后，我们应该得到单独的结果。

请注意：我们每天都会收到这些文件。因此每个文件的日期和月份范围会有所不同，我们现在无法更改文件名

我们有什么办法可以完成这项任务，或者如果有人可以帮助我们进行相应的 splunk 查询，将会有很大帮助。

请协助。

我需要你的帮助。

我想用这个查询比较不同日期的 2 个图表：

如何使用值 eval（latesttime_f 和 earlytime_f）在追加搜索中首先搜索最早和最晚？

在仪表板 splunk 中，我使用这个：

谢谢你的帮助。

我们目前正在使用 ADO（管道工件）来 Splunk 进行构建步骤审查。我正在开展一个将 Splunk Dashboards 迁移到 powerbi 的项目。我需要一个查询来列出来自 Splunk 的仪表板和报告的以下条件，以便我们确定要在 powerbi 中创建哪些

1. 仪表板/报告列表（可能包含作者详细信息）
2. 使用频率 - 例如过去 30 天内查看仪表板/报告的次数

我尝试了几个来自 mysplunk 的查询，但没有给出结果。感谢您的任何意见/建议。谢谢。

我正在使用 API 消耗一些数据，我想计算所有客户花费的平均时间，在每次摄取（特定客户消耗的数据）之后，我为该客户打印时间矩阵。

timechart span=24h avg(total_time)

现在要计算平均值，我不能简单地提取时间字段并执行 avg(total_time)，因为如果客户 A 在 1 小时内完成摄取，而客户 B 需要 24 小时，则客户 A 将被记录 24 次，B 将被记录一次，这让我不准确结果并降低平均值。

如何创建过滤器，假设持续时间为 7 天，因此我只获取特定客户的日志行，该客户在 7 天的时间段内具有最大的总时间。即每个客户一个日志行，该特定客户在 7 天的时间段内具有最大的总时间。