问题标签 [splunk-formula]

有没有办法监控定期收到的数据，并在不合规时发出警报？

我很想为我们的 GCP 和 Azure 环境设置警报。

在 splunk 报告中，如果 CSV/splunk 中没有数据，我们能否在附加的 CSV 中至少获得标题（列名）。如果没有数据，那么它也应该至少显示标题名称..

我正在寻找以下结果。

• 印度没有扫描仪 IP 被阻止

• 印度没有扫描仪 IP 非阻塞

• 印度的扫描仪 IP 被封锁

• 印度，扫描仪 Ip 未阻塞 where ip1,ip2=>Scannner IP

我已经尝试了以下一个..但它只显示“没有扫描仪 IP 被阻止的印度”计数

我们有 Splunk 日志，例如：

我想找到所有id没有其他两个状态的东西。在这个例子中，所有id=2记录的第一个状态，但没有记录其他 2。我正在阅读 JOIN 并发现它只能查看两个事件发生的事件，但我们不能排除这些事件。

我正在考虑的 Query 应该返回一个不具有state=secondorstate=third在上面的示例中应该返回的 id 列表id=2

我想计算特定 JSON 结构的出现次数。例如，在我的事件中，有一个名为dataJSON 的字段。但是这个领域可以有多种结构。喜欢：

现在我想知道每个 JSON 结构有多少事件有数据，我不关心值，只有键很重要。

我有一个 splunk 查询，它按频率生成汇总错误

这会产生以下形式的结果

正如您在生成的结果中注意到的那样，一些类似的错误正在根据用户电子邮件 ID 和机器 ID 的差异进行拆分。我正在寻找一种方法可以根据字符串的相似性对其进行分组。目前我正在使用的是用常见的正则表达式替换字符串，然后找到频率

这种方法很有效，但非常麻烦，因为存在许多不同类型的错误，如果要实施此解决方案，则需要检查每个错误并为每个错误开发一个正则表达式。

有没有一种方法可以通过更有效地总结此错误的查询来改进？

我正在使用 Splunk DB Connect 从 Snowflake 获取 Splunk 中的数据。这只是简单的订单数据。在 Splunk 搜索和报告中，我在我的表上运行以下查询以获得可视化。

我看到的是，每次我运行查询时，splunk 的事件数都会大大增加。例如。第一次运行后，它们是342000 个事件，当我运行相同的查询时，它们是67445 个事件。知道为什么会这样吗？

我有一个索引 idx1 和另一个索引 idx2 以及一个需要进行匹配的公共列“A”。

我在合并两列数据时遇到了困难。我必须以这样的方式组合数据，如果有重复，那么来自 idx1 的数据必须优先于来自 idx2 的数据；即基本上相当于集合操作[a+(ba)]。

我尝试了以下方法：

在这里，我得到了两列填充的总计 10840 个统计信息。

但是，当我想显示两个索引中的其他列时，我会得到这些索引的空列。

执行后：

我得到的输出为

索引计数 idx1 4791 idx2 6049

谁能帮我我该怎么做？？

我什至尝试过，但不确定

我是 Splunk 的新手。我的目标是优化 API 调用，因为该特定 API 方法的执行时间超过 5 分钟。

在我使用上下文 ID 搜索的 Splunk 中，我得到了主 API 调用函数为该特定执行调用的所有函数和子函数。现在我想弄清楚哪个子函数花费的时间最长。在左侧的 Splunk 中，在字段列表中，我看到字段名称 CallStartUtcTime（例如“2021-02-12T20:17:42.3308285Z”）和 CallEndUtcTime（例如“2021-02-12T20:18:02.3702937Z”）。在搜索中，我该如何编写一个函数来区分这两次。我谷歌发现我们可以使用 eval() 函数，但对我来说它返回空值。

附加信息：

搜索：

单击“创建表视图”并检查左侧字段列表中的开始、结束和差异字段。但是这三个都是空的

不知道我在做什么错。我想找出每个功能所花费的时间。

Splunk 新手...

不确定是否有办法做到这一点。

假设我有一个令牌

假设我有另一个令牌：

然后我可以做类似的事情吗

并且基本上将值设置为1（token_1的值）？有效...