问题标签 [splunk-dashboard]

我需要知道是否有可能在给定时间段内排除某些时间范围？我有一个搜索公式，然后我选择了日期选择器，但想知道我是否可以过滤掉我已经选择的特定时间范围？

或者是从日期选择器菜单进行多次搜索的唯一方法？

非常感谢

我在尝试安排每周一早上通过电子邮件发送我的“主仪表板”报告时遇到问题......当我去检查工作时，它看起来像是在开头附加了“无 |”

无 | sendemail "results_link=https://asdf.asdf.asdf.com:8000/app/search/@go?sid=" "ssname=_ScheduledView__main_dashboard" "graceful=True" "trigger_time=" maxinputs="10000" maxtime=" 60m" results_file="/opt/splunk/var/run/splunk/dispatch/results.srs.zst" "is_stream_malert=False"

我有超级用户，或https://docs.splunk.com/Documentation/Splunk/8.2.3/Report/Schedulereports中列出的适当权限。还使用 Splunk 版本 8.2.3。

任何帮助将不胜感激，谢谢。

我试图让一个多选依赖于另一个多选。我已经到了在选择时显示另一个多选的地步Opt1。这就是我想要的。但我也想multiselect2在选择Opt1and时出现Opt2。

如果我先选择Opt1然后Opt2，则显示第二个多选。但不是当我选择Opt2然后Opt1。我如何让第二个multiselect出现呢？

我在 Splunk 中有一些日志事件，如下所示：

我正在尝试获取如下表：

到目前为止我已经尝试过：

不幸的是，Splunk 似乎无法识别付款方式或方法。上面的查询（以及我在互联网上找到的更多查询）没有产生任何结果。

如果我用app_id替换方法或付款方式，那么我会得到一些结果。

我错过了什么？请帮忙。

这是日志的片段：

127.0.0.1 - - [01/Dec/2020:00:00:11 -0500] "GET / url:"api/orderLaptop for customer id 123"
127.0.0.1 - - [01/Nov/2020:00:00: 24 -0500] "GET / url:"api/orderLaptop 用于客户 ID 124"
127.0.0.1 - - [05/Nov/2020:00:00:11 -0500] "GET / url:"api/orderLaptop 用于客户 ID 333"
127.0.0.1 - - [01/Nov/2020:00:00:24 -0500] "GET / url:"api/orderCamera for customer id 124"
127.0.0.1 - - [05/Nov/2020:00: 00:11 -0500] "GET / url:"api/orderCamera for customer id 333"
127.0.0.1 - - [10/Aug/2020:00:00:24 -0500] "GET / url:"api/orderLaptop for客户 id 444"
127.0.0.1 - - [13/Aug/2020:00:00:24 -0500] "GET / url:"客户 id 434 的 api/orderCamera"

是否可以在 Splunk 中生成一份报告，显示客户每月购买了多少笔记本电脑和相机等产品。

我的预期输出应如下所示：

非常感谢。

我创建了一个带有基本搜索的仪表板，如下所示。

基本搜索在面板上正确应用，single但在chart面板中基本搜索似乎不起作用。图表面板始终显示未找到任何结果。但是，如果我直接给出查询而不是引用基本搜索，那么图表面板也可以正常工作。

如何确保该chart面板使用基本搜索？

我有一个 Splunk 日志，其中包含一条不同时间戳的消息，带有一些案例编号

"message":"Welcome home user case num 1ABCD-201901-765-2  UserId - 1203 XV - 543 UserAd - 76542 Elect - 5789875 Later Code - QWERZX"

在下面的日志中，如果满足某些条件，也会以不同的时间戳打印一些日志消息

我想在 Splunk 仪表板中创建一个表，以使用带有这些列的 Splunk 查询列出所有案例编号以及详细信息

Case Num | XV | UserId | UserAd | Elect | Later Code | Passed First class | Passed Second class | Failed First class | Saved | Not saved | Not user to us

如何打印这些列  Passed First class | Passed Second class | Failed First class | Saved | Not saved | Not user to us的真假

我在多台计算机上生成列出未运行的服务名称的事件。我想制作一个图表来显示最有问题的服务名称。

我可以使用以下内容获取仪表板的表格：

典型消息将包含：

使用正则表达式，我可以创建一个命名组，但第一行除外。(?<Services>((?<=\n)).*) 但是，我认为这不是正确的方法，因为我不知道如何使用这些信息对图表进行估值。

所以本质上，我如何从 Splunk 中的消息中获取和统计服务名称？

编辑1：几天后回到这个。我使用正则表达式创建了一个名为“服务”的字段提取，它在第一行之后抓取每条消息的内容。如果我使用| stats count BY Services它将每条消息作为一个整体而不是里面的行来计数。结果如下所示：

我的意图是让它将每一行视为自己的值，因此结果如下所示：

我试过| mvexpand Services了，但它并没有改变输出，所以我认为我要么使用不当，要么在这里不适用。

截至今天，我们有两个正在运行的查询 

第一个查询：按 apiName 和状态分组的 api 计数

它显示了一个如下所示的表格

第二个查询：按 apiName 分组的 api 延迟

它显示了一个类似下面的表格

问题：

如果您看到上面的表格，这两个表格都使用apiName分组。有没有办法组合这些查询，以便我得到一个类似这样的结果

|=================================================== =================| | 接口名称 || 成功 || 错误 || 空|| RT_最快|| RT_最慢 | ==================================================== ================| | 测试1 || 10 || 20. || 20. || 20. || 20. | | 测试2 || 10 || 20. || 20. || 20. || 20. | | 测试3 || 10 || 20. || 20. || 20. || 20. | | 测试4 || 10 || 20. || 20. || 20. || 20. | | 测试5 || 10 || 20. || 20. || 20. || 20. | | 测试6 || 10 || 20. || 20. || 20. || 20. |

  我找不到任何有关将多个图表查询合并为一个的文档。有人可以帮我解决这个问题。谢谢 ：）

我在 Splunk 8.1 上尝试创建动态仪表板。我正在尝试创建一个multisearch查询，其搜索将基于用户单击的复选框。

搜索部分如下所示：

这按预期工作，只是最终查询如下所示：

如何制作这些$userinput1$并$userinput2$从仪表板中的用户输入转换为它们的令牌值，而不是作为文字字符串。

我尝试使用<change>标签来使用eval并set基于<condition>用户选择的标签，但eval不允许令牌值并仅用文字字符串替换。像这样的东西：