问题标签 [splunk-formula]

我在 Splunk 日志消息中具有以下格式：

LogService 产品id=1 价格=10.00 numberOfClients=4 利润=5.00

我需要创建一个查询来查找最后一天的所有记录并计算：

总和（价格 * 客户数量）/总和（利润），

如果结果不在 [0.2, 0.8] 范围内，则会触发警报，其中 sum 是所有记录消息的值的总和。

我尝试了几种方法，但没有奏效。请指教。

因为我正在从事网络安全项目。我需要为个人用户创建私有查找表，这样任何其他用户都不应该看到其他用户查找表的内容。我通过以下方式创建了查找表：

这12_april_lookup.csv在.../my_app/lookup/ folder. 此时此查找表权限是私有的。

但是，当我通过以下搜索命令将一些数据添加到查找表时：

然后文件将在具有全局权限的其他应用程序文件夹中创建。现在所有用户都可以通过以下方式查看文件内容

当我们通过 splunk 触发电子邮件时，我们希望显示 3 个具有不同结果集的表。是否有任何选项可以为单个电子邮件警报配置多个 splunk 查询？

请帮助您的输入。

我有两个这样的搜索：

我想将它们组合成一个看起来像这样的图形/表格：

非常感谢任何帮助或想法！谢谢。

我正在尝试在某些服务端点的 splunk 中创建一个表以及每个端点所花费的计算时间，现在我想根据时间显示选定的端点的问题。这是我为显示字段而编写的查询。

只有当它们超过 1 秒时才应该只显示端点。

1. 以下搜索会返回相同的结果吗？

   搜索 1：ssh error
   搜索 2：ssh AND error

2. 以下搜索不会返回相同的结果吗？

   搜索 1：purchase
   搜索 2：action=purchase

我很天真，我必须优先完成这项任务，我想为部署在 PCF 上的多个 api 设置警报，例如

API 名称：错误 1、错误 2、3 ..

API 名称 2：错误 1、错误 2、3。

API-NAME3：错误 1、错误 2、3。

每个 api 的错误都是相同的。

如何编写 splunk 查询以针对上述情况发出警报。

我以为我会简单地使用 or 条件来创建查询

像 Error1 或 Error 2

但这会创建一个全局警报，我不希望这样。

我不能在查询中使用 API 名称，因为 api 名称记录在许多条件（信息、调试等）中，这在许多情况下将不必要地创建警报，

*API 只是调用后端服务器的 URL。

尝试使用 url 时，我得到 URI 不能为空

下面是我的代码，

获取异常“ URI 不能为空”Service service = Service.connect(loginArgs);

我的代码有什么问题？

我有这样的数据：

事件 1：field_name=field_value，status="process"，status_file="file_name"

事件 2：field_name=field_value，status="send"，status_file="file_name"

事件 3：field_name=field_value、transfer_status="transferred"、transfer_file="file_name"

事件 4：field_name=field_value，fatal_type1 = "reason1"，fatal_type1_file="file_name"

事件 5：field_name=field_value，fatal_type2 = "reason2"，fatal_type2_file="file_name"

从上面所有事件的共同值是 file_name 其余的都是不同的。如果文件名与其他文件类型匹配，它应该列出我想要的所有报告，如下所示

文件名、文件类型、文件类型计数

abfskjsfjskjjv，{进程，发送，转移，reason2}，4

hrhashlahsf,{过程, reason1}, 2

fhkawuruhshfhuaf,{处理、发送、转移}, 3

我制作了一张这样的表格：

我想知道：每秒每个（field_1+field_2）组合的平均和最大计数是多少。问题是 _time 缺少几秒钟，所以stats count结果只给我现有时间桶的聚合结果。

对于每个（field_1+field_2）组合，如何扩展此表以包含每个丢失的时间秒数，只需填充 count=0？只要我能做到这一点，我可以简单地通过stats avg(count) max(count) by field_1 field_2.