问题标签 [splunk-formula]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
splunk - splunk 工作流操作不起作用
我正在尝试使用 splunk POST 工作流操作创建事件。从我尝试触发工作流操作的事件开始,会打开一个新窗口,并且查询字符串会附加到 URL,但字段中未填写值。
如何解决这个问题?
splunk - 当每个字段都是列表时,需要 Splunk 查询来查找两个字段之间的共同元素
我将每个事件都作为一个 JSON 对象,下面由 Splunk 索引。我怎样才能有一个 Splunk 查询,以便我发现所有这些故障都发生在数组"failed"和"passed"数组中?
对于上面的示例,结果将是"fail_2"。
splunk - 在 splunk 中加入 2 个不同的搜索
搜索 1:
app="atlas" source="/usr/local/homeaway/atlas-production/logs/*" index="aws_prod_applogs" 泰坦 | 按 date_mday 统计的 avg(*responseTime)
搜索 2
app="atlas" source="/usr/local/homeaway/atlas-production/logs/*" index="aws_prod_applogs" Titan statusCode=200 | 按 date_mday 统计的 avg(*responseTime)
如何加入 2 个不同的搜索查询?
splunk - Splunk 如何组合两个查询并得到一个答案
我对 Splunk 还很陌生,基本上被彻底抛弃了!!对语言也很陌生,所以下面的任何帮助和提示都会很棒。
我想要得到的结果是加入查询并获取用户名、ID 和登录次数。
查询来自差异源、源类型和主机。
查询 1 是用户名和 ID,查询 2 是用户名和登录次数。
查询一:userName=" " entityNumber=" " | 评估用户名=上(用户名)| 去重用户名,实体号 | 将用户名重命名为用户 | 表用户,实体编号
查询2:“登录成功。” | rex field=_raw "用户[\":] (?[^\"IP] )"| 评估用户=上(用户)| 表用户 | 按用户统计
在此先感谢您的帮助。Ĵ
splunk - Splunk:在索引期间格式化 csv 文件,值被视为新列?
我试图在索引期间创建一个新字段,但是当我尝试连接时,这些字段变成了列而不是值。我究竟做错了什么 ?我查看了文档,似乎根据..
将不胜感激这方面的一些帮助。
例如
.csv 文件
转换.config
字段.config
正则表达式很好,从数据中创建了两个组,但为什么它创建一个新字段而不是将值分配给 result?。如果我要这样做......testresult::$1或者testresult::$2它工作正常,但是在连接时它会创建多个标题,其值为 headername。有没有更简单的方法来连接字段,例如,如果你有一个带有标题名称的 csv 文件,你可以不引用标题名称吗?(我知道如何使用计算字段来做这些,但想在索引期间做)
谢谢
splunk - 如何在 splunk 中制作仪表板和查询
我是 splunk 的新手,只有查询方面的基本知识。我需要创建一个仪表板来计算每台服务器的策略总数。我有一个示例数据,它显示了不同的主机和策略。
示例数据:
我想生成这样的仪表板:
我的代码是这样的:
splunk - 使用 Splunk rex 命令提取 2 个单词之间的字段
请协助在 2 个固定词之间提取\创建一个新字段,其中一个以!
例子:
!CASH OUT和!TOTAL是固定的,但 ( ) 之间的值$22.00!会发生变化。我想创建一个字段,以便我可以按兑现金额等过滤事件。我只希望美元金额成为最后没有的字段!。
我已经尝试了以下搜索,但它创建了一个包含所有数据的提!CASH OUT 现字段,并且之前没有剪切该字段!TOTAL
field = $50.00
splunk - 如何优化以下 Splunk 查询?
我有如下结果:
我正在尝试对整个"Message"字段的内容相同"emailAddress=null"且不包含在消息中的结果进行分组。
以下查询对我来说很好,但我需要根据以下条件进一步优化它:
工作查询:index=app sourcetype=appname host=appname* splunk_server_group=us-east-2 | fields Message | search Message= "[Message*" | regex _raw!="emailAddress=null" | stats count(Message) as count by Message | where count > 1
优化条件
- 不能针对原始的
- 消息键/值对需要在主搜索中,而不是子搜索中
splunk - 有没有办法在计数层中按字典顺序对 top 命令的输出进行排序
我正在编写一个 Splunk 查询来检索具有特定标识符标记的错误代码,然后使用 top 命令按出现次数对它们进行排序。但是现在,我试图将 top 命令的输出按字典顺序排列。
我尝试通读 Splunk 的 SPL 的一些文档,但找不到允许我执行此操作的命令或选项。
例如,如果您有以下计数:A - 2、B - 5、C - 1、D - 2,我希望结果按如下顺序排列:B - 5、A - 2、D - 2、C - 1.
splunk - 提取嵌入在日志数据中的字段
我想从 Splunk 中的字符串中提取一个字段。这是一个示例数据,我想从中提取vin字段。
这样做的正确方法是什么?