问题标签 [splunk-formula]

我有一个 json 日志，如下所示

所有字段均已正确编入索引。我正在寻找在消息元素中提取 json 数据。我想使用 spath 将 FieldType,EncryptedDocKey,Domain,Partner,Carrier,RequestTrackerId 提取到自己的字段中。

也欢迎任何其他替代选择。谢谢你的帮助。

尝试了正则表达式，但它不起作用

同一id下的事件的当前状态

我试图通过评估案例（只能管理一个事件）而不是同一进程下的所有事件来添加状态。

我现在的结果

我想得到什么不同的时间（但我得到完全相同的时间，因为它是按状态而不是事件分组）任何提示以获取整个过程的状态

我是 SPlunk 的新手，试图做一些仪表板，需要帮助来提取特定变量的字段

在我的情况下，我只想将 KB_List":"KB000119050,KB000119026,KB000119036" 值提取到一列

我努力了：

在日志中突出显示以下部分

svc_log_ERROR","Impact":4.0,"CategoryId":"94296c474f356a0009019ffd0210c738","hasKBList":"true","lastNumOfAlerts":1,"splunkURL":false,"impactedInstances":"","highestSeverity":"Minor ","来源":"hsym-plyfss01","re​​qEmail":"true","AlertGroup":"TIBCOP","re​​qPage":"","KB_List":"KB000119050,KB000119026,KB000119036","re​​qTicket" :"true","autoTicket":true,"SupportGroup":"TESTPP","Environment":"UAT","Urgency":4.0,"AssetId":"AST000000000159689","LiveSupportGroup":"TESTPP"," sentPageTo":"TESTPP"},"通知":{"":{"requestId":"532938335"}},"":

我是 splunk 仪表板开发的新手，到目前为止，我只使用“单一价值”来创建 KPI。

我有三个 KPI 的结果是 600、250、150

KPI 1 搜索表达式 - 结果为 600（示例）

KPI 2 搜索表达式 - 结果为 250（示例）

KPI 3 搜索表达式 - 结果为 150（示例）

我在仪表板中将 KPI 显示为数字。但是，我想显示一个饼图，上面的数字分别占 60%、25% 和 15% 的份额。创建此图表的搜索表达式是什么？

似乎其中一个 LDAP 策略因未知原因而停止工作。我已经确认密码并且设置正确。我还检查了Map Groups字段并确认已添加用户角色，并且我能够看到LDAP 用户下应该存在的所有用户 我还尝试重新加载身份验证配置，但没有运气。任何帮助或建议将不胜感激。以下是我收到的消息。任何帮助或提示将不胜感激，不知道从这里可以去哪里。

我正在处理 Splunk 要求，这就像 splunk 脚本计划从周一到周五每 15 分钟运行一次 30m。然而，他们有一个新的要求，即仅在周六和周日运行这个脚本 60m。

仅在周六和周日每 60m 运行一次的现有脚本中要进行哪些更改。请帮忙。

谢谢文卡特什

所以我有一些格式为

这是一个一致的模式，每个事务都有一个开始、中间和结束，每个事务都有不同的 UID（其他事务也有不同的车辆）。

我目前使用以下搜索命令将它们分组到事务中。

哪些交易分组显示了过去 X 时间长度内的交易数量（一天可能是数百/数千。

我需要使用actual_important_log_time字段获取每个事务的持续时间，然后使用这些值来获取平均值

我有 2 个索引，其中一个字段（A）在两者中都很常见

现在我想要一个面板中两个索引器的相同字段（A）的计数。例如：

索引器 1= A=30 的
总事件计数 索引器 2= A=20 的总事件计数

现在在一个面板中，我想将 A 的总数显示为 50

我正在做一个查询，这样它将获取 a 值的总数，然后将其乘以某个常数。例如 ：

我想将计数返回的结果乘以 0.5。假设如果输出stats count为 124，我想将其乘以 0.5 并报告输出。

我来自 splunk 团队，我们注意到不属于 splunk 团队的人，他们正在对现有仪表板进行更改，而没有通知我们..我们该如何解决这个问题？如果是的话，我们可以在任何仪表板上进行任何更改后获取通知，那么如何？请帮忙。