问题标签 [splunk-formula]

如果服务器日志中出现新错误，我希望在 splunk 中触发警报。新错误是过去一周内服务器日志中不存在的错误。我有日志索引索引 = Serverlogs1。

请帮忙！

我正在尝试从多值字段中提取匹配的字符串并显示在另一列中。我尝试了各种选项来通过分隔符拆分字段，然后 mvexpand 然后用户 where/search 来提取这些数据。我试图找出是否有更简单的方法可以做到这一点，而无需在 SPLUNK 查询中遇到所有这些麻烦。

示例：假设我有以下多值 column1 字段，其中数据由分隔符逗号分隔

column1 = abc1,test1,test2,abctest1,mail,send,mail2,sendtest2,new,code,results

我正在使用分隔符拆分此列|eval column2=split(column1,",")，并使用 regex/where/search 在此列中搜索数据*test*并返回结果，我能够在其中提取结果但 column1 仍然显示所有值abc1,test1,test2,abctest1,mail,send,mail2,sendtest2,new,code,results ，我想要的是修剪 1 column1仅显示匹配的单词test或显示新column2中的那些条目，这些条目应仅显示此单词test1,test2,abctest1,sendtest2，因为它们仅匹配*test*。

我会很感激你的帮助，谢谢。

我在 Splunk 中有以下事件：

我的问题是如何计算每个主机和每种警报类型的事件持续时间记录，例如，从上述事件中，我将通过算法获得以下内容，而不仅仅是硬编码特定示例中的值：

其中 start 是第一次发出主机警报的最早时间，而 end 是清除同一警报/主机的时间。

我的第二个问题是如何在那些封闭的跨度中找到最大的持续时间跨度，忽略那些没有结束时间的。

我的问题是如何在 Splunk 的框架内实现？

完全披露，我是 Splunk 的新手，所以我可能会错误地解释我的问题。

我有两个数据源，并获得了分别从它们中提取数据的查询。我正在尝试将这些数据连接在一起，以便我可以创建某种类型的图表，但我不确定这将是一个连接/搜索等。

我的初始查询如下：

这使我可以按发件人地址搜索邮件日志，并显示所有带有 的电子邮件bcSendAction=1，即成功发送。

index=mail sourcetype=barracuda [search index=mail sourcetype=barracuda bcSender="someemail@domain.com" | table bcMsgId] bcSendAction=1

本次搜索结果如下：

现在，我的另一个搜索是显示特定时间段内所有发件人电子邮件地址的日志。我想在第一次搜索中使用这个结果（电子邮件值），这样我就不必对 进行硬编码bcSender，而是让它使用来自其他来源的结果。

我能够解析日志并仅提取我想要用于插入我的第一次搜索的电子邮件地址。

我关注了一些电子邮件和教程，但是我看到的很多连接只使用了两个不同的源/数据集，并且没有search像我在第一个查询中那样使用。

我的尝试是这样的：

我不知道我是否正确引用了第一个结果集中的电子邮件。有人可以为我指出如何进行此搜索的正确方向吗？

我有一个使用基本搜索的仪表板，以及 4 个其他面板，这些面板引用它并根据我要使用的图表以不同的方式格式化结果。

当我自己运行基本查询时，它会按预期返回数据。

基本查询：

在一个面板中，我显示了一个发送的总数，如下所示：

与使用折线图每小时显示的另一个面板相同：

引用基本查询时，上述两个面板都可以正常工作。

我遇到的问题是在饼图中。

当仪表板尝试加载此面板时，它始终返回“未找到结果”。但是，如果我将基本查询复制到搜索中，然后将此面板中的查询粘贴到其正下方，我会得到预期的结果。

问题：

当我可以手动粘贴这两个部分并且运行良好时，为什么这个面板使用相同的基本查询在获取数据时会出现问题？

Bounty Clarity 更新： 我的仪表板有 4 个面板，其中 3 个几乎使用相同的搜索查询，这就是我试图设置基本搜索以便他们都可以引用它的原因。

这是我对 4 个面板的 4 次单独搜索，如果它有助于显示我如何尝试将其拆分以使我的基础正常运行。

我想知道如何在 Splunk 中编写搜索查询，以检查当前搜索是否大于先前搜索的 20%。我每 10 分钟就会收到一次特定计数的事件。我想检查我的当前计数（过去 10 分钟）是否大于我之前计数（过去 20 分钟）的 20%。我需要使用子搜索进行比较。但没有得到结果。任何人都可以帮忙吗？

我有几次登录失败，然后管理员成功了，这就是我所拥有的，但似乎没有得到任何结果：

关于找到用户失败的登录尝试然后成功登录的更好方法的任何想法？

SPLUNK 企业 我正在尝试计算 > 4% 的故障是异常的结果。公式正确吗？设置异常？（失败计数和总计数字段是数字）

| inputlookup 示例.csv | eval isananoly = if('Failcount' / 'Totalcount' * 100 > 4 , 1 , 0)

我有一个名为“30 Jan 2020.json”的文件，其中包含 2 条记录：

我的 props.conf 文件是

在inputs.conf中我指定了

但是当这些数据被摄取时，我只得到名为 _Time 的条目，当我展开其中任何一个时，它们将所有记录 json 显示为单个字符串作为行。我希望将每个发件人、收件人、主题等实际数据作为单独的条目提取。因此，当我搜索单个发件人（例如 John）时，我只希望返回单行，而不是返回整个文件内容。这是使用 Azure Splunk 插件时的行为。当我通过主菜单中的“添加数据”选项直接加载文件时，文件被正确解析为单个条目。

我正在尝试使用 splunk 查询在 splunk 仪表板上获得缓存和内存利用率的组合结果，有人可以帮我进行 splunk 查询吗