问题标签 [splunk-formula]

我有一个显示延迟数据的表，现在我想编写一个警报查询，当请求（方法 + uri）的中位数高于 3000 毫秒（3 秒）时会发出警报

我用于该延迟表的查询是：

这会生成一个表格，显示基于方法 + uri 的中值延迟例如：

• POST /第一个端点 1000
• GET /第二个端点 2000
• 删除 /第三端点 1500
• POST /第四端点 4000
• 获取 /第五端点 4500

现在我正在尝试创建一个查询，该查询将仅显示具有高于 3 秒的高中值延迟的方法 +uris，以便我可以创建警报，以提醒 splunk 哪些端点具有高延迟这是我尝试过的：

应该显示这个：

• POST /第四端点 4000
• 获取 /第五端点 4500

但是它只显示与第一个查询相同的结果

我有 20 个索引，我们希望以分组方式在下拉列表中显示它们。我们如何在查询中对它们进行分组？例如：-

index1,Index2,index3 应该带有名称 abc.... 索引 4、索引 2、索引 5 应该带有名称 efg...

所以在下拉菜单中，我们应该只看到 abc 和 efg 的值。所以一旦选择 abc，下面的面板应该相应地显示图形..

我正在尝试根据此搜索创建一个气泡图，如下图所示。

我尝试了不同的方法来创建类似于下面编辑过的气泡图图像，但到目前为止没有成功。我希望这里有人可以帮助我实现这一目标，如果可能的话？

我可以看到我可能需要在自己的列中获取事件代码，并且可能与计数相同......但是如何？

在 splunk 中，如果我们想添加多个过滤器，我们如何轻松做到这一点。例如：-

index=indexer action= Null NOT IP IN (10.34.67.32 , 87.90.32.10.. 等等)

现在的问题是我是否有 519 IP 想从结果中排除，我们如何轻松做到这一点..

我已经尝试过下面的代码，但是编写查询需要更多时间

index = indexer action =Null IP!=10.34.67.32 IP!=87.90.32.10 依此类推..

我们如何获得过去 4 个月的时间表我尝试了以下查询，但它给了我固定的最后 4 个月数据，例如仅适用于 3 月、4 月、5 月、6 月 .. 我怎样才能获得 8 月 9 月 10 月和 11 月的数据。

PFB尝试查询..

你也可以帮忙获取最近 4 周的数据吗.. 我试过下面哪个不起作用..

嗨有一个像这样的事件如下所示

今天的问候信息=Hello|myname|name|is|Alice|myName|is|bob"}

我如何计算message=直到"}之间的单词数。我有一个|分隔符应该可以帮助我计算两者之间的单词数。但是对于每个计数，我想添加一个特定的数字

例如上面的日志我会得到 8 个单词作为计数基于| 分隔器。但是对于每个计数，我想添加一些新数字，例如 8+2，并将值更新为新的 splunk 字段。

这将有助于计算是否有任何事件超过该值的阈值，然后我可以触发警报。

有人请帮助我得到这个。

我需要为单个用户名返回每天最早的登录时间。但是，某些退货与该日期的登录不匹配。如下查询：

结果：

如您所见，有些日子将他们最早的登录作为前一天的登录返回。我需要匹配左侧和右侧的日期，并且我需要在一个查询中将所有这些都放在一起，我已经知道如何一次执行一个查询。感谢您抽出宝贵时间提供帮助！非常感谢！

我有一个如下的搜索字符串：

索引=qrp 进入 (ORDER_EVENT) | 桶_时间跨度=1h | timechart useother=f span=1h sum(TRADES) as "TradeCount" by ODS_SRC_SYSTEM_CODE | 填充空值=0

目前，这为我提供了来自舞台表交易事件的多个源系统的交易汇总，以表格格式在一天中的每个小时进行。

我需要准确搜索每天早上 8 点的时间范围，表中所有源系统的交易太阳值是否等于零。如何添加条件以检查列值是否为零？

非常感谢您的帮助。

我有一个有效载荷的日志，如下所示：

我需要摆脱“未知”类型对象并获得剩余值的总和

我能够得到所有错误的总和，但对于类型为 Unknown 的事件，我不知道该怎么做。能否请你帮忙？

这是我目前的搜索，不排除未知类型。如何合并逻辑以排除未知计数

我在 splunk 中有以下两种不同源类​​型的数据

索引=“xyz”源类型=“资产”

索引=“xyz”源类型=“计算机”

我正在尝试获取两种源类型都不匹配的数据

我尝试使用如下所述的外连接进行数据选择，但似乎它不起作用

请建议