问题标签 [splunk-dashboard]

我正在流式传输具有最新时间戳的数据列表，但数据显示在不同的时间。例如：

上面时间戳t=1632967410.582567（7:03:30.582 PM5:19:01.000 PM

背景：

• 数据由python脚本生成，数据是事件列表，每个事件都打印到stdout
• 我试图在每个事件之间包含额外的换行符，但它仍然将它作为一个块流式传输并以不同的时间戳显示
• SUF 的版本是 8.2.1 (build - ddff1c41e5cf)
• Splunk Enterprise 的版本是 8.1.2

有人可以指导我解决这个问题，以正确的时间戳打印流数据吗？

我有一个带有提交按钮（submitButton）的仪表板。在按下按钮之前搜索不会运行，这正是我想要的（搜索需要很长时间）。我不希望在用户更改其他下拉列表（时间）、环境（产品与质量保证）等时开始搜索。

但是，有时在不更改任何其他字段（时间、环境等）的情况下点击提交按钮并再次执行搜索会很好。在这种情况下，提交按钮什么也不做！我可以通过搜索得知基础数据已更改，但仪表板未更新。只需更改任何字段，进行搜索，然后将它们更改回来并再次搜索即可解决问题，但是提交按钮肯定应该在没有这种解决方法的情况下工作吗？

谢谢

splunk的transforms.conf中可以有多少匹配条件语句。我看到，如果匹配条件超过 700 行，则数据不会被摄取，也不会被识别或处理，但匹配条件不到 650 行时，数据会被摄取。

我对 splunk 很陌生，正在创建一个仪表板来显示最不合规的情况。对于下面的数据，我想显示最不合规的控件（示例输出也在下面提到）

任何人都可以让我知道我怎样才能写一个搜索查询？

提前致谢。

生成以下格式的表格 -

我遇到了这个问题，我有一个每分钟刷新一次的仪表板，所以我计算了事件的总数，在该事件中，批准的交易总数显示如下：

问题是当仪表板被刷新而不是保持或增加它所减少的数字时，如下所示。

再次刷新后，它再次显示正确的数据。

我已经用更多的CPU增加了资源，我不知道我该怎么做才能解决这个问题？

这是 Splunk ui 中出现的示例 accessLog。

1. {"timestamp":"2021-10-17T15:03:56,763Z","level":"INFO","thread":"reactor-http-epolpl-20","message":"method=GET, uri=/api/v1/hello1, status=200, duration=1, "logger":"reactor.netty.http.server.AccessLog"}

2. {"timestamp":"2021-10-17T15:03:56,763Z","level":"INFO","thread":"reactor-http-epolpl-20","message":"method=GET, uri=/api/v1/dummy1, status=200, duration=1, "logger":"reactor.netty.http.server.AccessLog"}

我想提取 url 并对所有 API 进行计数，例如从 uri 部分命中 API 的次数（uri=/api/v1/dummy1）

但它没有以正确的格式提供 URL。我尝试了各种正则表达式，但无法获得正确的 URL 计数。

我想使用此查询在 Splunk 仪表板中显示 API 计数。

我有一个 splunk 查询，目前运行良好。Splunk 查询如下
index=my-index sourcetype=my-type | timechart span=2h perc95(time) as m95 | eval test1=200 | eval test2=400 | timechart span=2h avg(m95) as mm95, avg(test1) as "TEST_1, min(test2) as "TEST_2"

如果我只想timechart span=2h在splunk查询中使用一次，但是查询结果应该是一样的。如何修改我的查询？谢谢。

我正在 Splunk 中创建仪表板。它有一个下拉菜单用于选择 App-name（App1 或 App2），另一个下拉菜单用于选择 log_type（详细信息和 App_specific），以及一个用于显示搜索查询输出的搜索面板。

例如，

1. 如果用户选择 App1 和 log_type 作为 app_specific，那么 Panel 应该得到查询结果：

index=App1 "taskExecutor-1" | sort -_time | table msg

对于 App1，选择 app_specific 应将“taskExecutor-1”添加到查询中。

2. 如果用户选择 App2 和 log_type 作为 app_specific，那么 Panel 应该得到查询结果：

index=App2 "ool-44-thread-1" | sort -_time | table msg

对于 App2，选择 app_specific 应将“ool-44-thread-1”添加到查询中。

3. 1. 如果用户选择 App1 和 log_type 作为详细信息，那么面板应该会产生查询结果：

index=App1 | sort -_time | table msg

选择详细信息不应该对查询产生任何影响。或者我们可以说，一个空值。

如何自定义查询以适应 Splunk 中的此类行为？Splunk 中是否有任何 if/else 或 case 功能可以帮助实现此行为？

我有多个仪表板，我想将它们列在一个特定的应用程序下。如何对该仪表板进行分类？

如果这对你来说听起来很傻，我提前道歉，我是 splunk 的新手，并做了 udemy 课程，但无法弄清楚这一点。

但如果我检查 https://:8089/services/cluster/config

我看到复制因子：

所以我很困惑我的数据是否被复制，我在一个集群中有两个索引