问题标签 [splunk-dashboard]

首先，也许我正在寻找的东西是不可能的，或者我走错了路。请建议。

考虑一下，我的原始数据有 n 个参数，每个参数用“&”分隔。

使用 SPL，我只过滤了我感兴趣的几个字段（ACC、X、Y）。现在，我想只使用表格格式的过滤字段生成报告，而不是整个原始数据。

我们正在尝试备份 Splunk 仪表板和报告源代码以进行版本控制。我们正在一个企业实施中，我们的休息电话受到限制。我们可以通过 Slunk UI 创建和访问仪表板和报告，但想知道我们是否可以自动备份它们并存储在我们的版本控制系统中。

共享应用程序日志：

问题：在 splunk 仪表板中查找耗时超过 500 毫秒的 API 总数？

请分享 splunk 查询以找出以下数据。

两列表中的预期输出显示：
延迟 API 名称：queryAPI
总出现次数：1

在 splunk studio 中处理网格布局以创建仪表板，无法找到一种方法来自定义面板时序，而不管仪表板的全局持续时间如何。

例如，如果我希望面板显示最近 15 分钟的数据，但全球时间保持固定为 24 小时，这可能吗？

我正在寻找组合和操作来自不同日志记录实例的两个提取字段。我正在使用rex命令进行提取。

但是，从阅读文档看来，不可能将匹配不同行的 rex 命令组合起来。

例如：

假设我记录了这一行：Timestamp Caller foo bar <DATA> blah blah。使用 rex 我可以<DATA>像rex field=log "foo bar (?<DATA>\d{1,6}).*. （注意它是数字数据）。

现在我有另一行记录为Timestamp Caller baz qux <DATA2> blah blah. 同样，我可以抓住<DATA2>as rex field=log "baz qux (?<DATA2>\d{1,6}).*。

问题是我想量化两者之间的关系<DATA>。<DATA2>

如何运行一个查询来捕获出现在不同日志行中的两个数据点？

注意：相关How can I combine 2 queries in Splunk问题不相关，因为这些问题中的数据要么出现在同一行，要么没有rex明确使用。

这是我的 splunk 查询

我将一周内的错误总数添加到名为 TOTAL 的另一列中，如下表所示。这里 A...B... 是按字母顺序排列的错误名称，值是发生在该列上的错误总数该错误类型的日期

我希望这些按 TOTAL 行中的值按降序排列，例如

但我总是按错误类型的字母顺序得到这个，比如

如何改进此查询以获得我想要的排序结果？

我有一个 splunk 查询，它使用正则表达式在日志中查找最常见的错误。然后我将其显示为条形图。正则表达式返回 10 个错误值。

我想在钻取中使用查询返回的值，以便单击条形图将显示该值的结果

我用于设置令牌的向下钻取 xml 是这个

然后我在钻取查询中使用这个标记

这些错误名称太技术性了，我想在主面板中将它们更改为通用名称并向下钻取。

例如，如果正则表达式返回错误“ID not found”，我想用“Data_error”替换它

我也希望我的头衔用通用名称更改

但问题是当我使用 更改名称时eval，向下钻取查询没有得到实际的错误名称并且搜索失败，因为没有“Data_error”这样的错误。查询需要“未找到 ID”才能运行。

有什么办法可以实现吗？我可以更改我的 searchTerm 的名称，同时在下钻查询中使用旧的 searchTerm 吗？

我正在尝试将谷歌图表提供的 sankey 图表可视化包含在 splunkjs 文件中。我已经用组织结构图（另一个谷歌图表可视化）实现了类似的结果。我下载 loader.js 文件并将其与我的 splunkjs javascript 文件一起插入到仪表板 xml 的头部。

orgchart 一切正常：

组织结构图

但是当我对 sankey 图表做同样的事情时，我得到了这个错误：d3.sankey is not a function

sankeychart错误

这就是我在仪表板标签中的内容

这两个 js 文件都在 myapp/appserver/static 文件夹中。这就是我的 splunkjs 文件的 require 部分

我怎样才能正确渲染桑基图而不会出现该错误？

我有一个运行良好的搜索

但是，我想修改它以搜索版本数组中的任何版本。我知道“in”运算符。

问题是我提供的版本数组（“Releases”）的格式略有不同，如下所示：

有没有办法使用 in 运算符和一些映射来释放

这可以放在搜索中吗？

这是面板的一部分，所以如果它更简单，我可以在其他地方有代码转换[ver2020.15.0015, ver2020.15.0016, ver2020.22.0019]成[2020150015, 2020150016, 2020220019]

但是，如前所述，我是新手，所以我对在哪里放置代码来转换数组的了解是有限的:)

我有一个字段集部分和一个带有查询的面板。

“Releases”数组在字段集部分填充，如下所示：

用户输入 ver2020.15.0015 或者可能是 ver2020.15.*。

我不能只让用户输入 2020150015 因为 ver2020.15.0015 格式在其他地方使用。

也许有办法Releases_Alt在得到这个之后立即创建新领域？

让我知道我可以提供的任何其他信息。正如我所说，我是 Splunk 的新手，所以我仍在为术语而苦恼。

我的任务实际上是自我学习，我知道 Splunk 的基础知识以及它是如何工作的，总的来说它需要日志，然后进一步分析是未来的一部分。

现在，我在一家没有特定防火墙设备的小公司工作，只有路由器在那里，我打算实时跟踪每个主机的互联网速度+数据使用情况和类似的事情，总的来说我想监控所有的在这个小型 WAN 环境中的网络使用情况。

我的问题是，由于 splunk 需要日志，那么当只有一个路由器但没有外部设备来创建日志时，如何获取所有网络流的日志，以后可以将其提供给 splunk？

我尝试了谷歌，但我发现只有预设的软件可以自动捕获日志并显示分析，而我只需要日志。