问题标签 [splunk-query]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
splunk - 如何在 Splunk 仪表板中可视化这些数据?
我拥有的来自 Splunk 的最终数据是一个 csv 文件的形式,其中包含大约 180 行(产品/商品)和一个记录变化的列(与上个月相比的销售额)。
我想创建一个仪表板来了解上表。以上内容的最佳视觉表现是什么?任何例子都会非常有益!
splunk - Splunk 查询一个时间范围内条目总和的划分
我在 Splunk 日志消息中具有以下格式:
LogService 产品id=1 价格=10.00 numberOfClients=4 利润=5.00
我需要创建一个查询来查找最后一天的所有记录并计算:
总和(价格 * 客户数量)/总和(利润),
如果结果不在 [0.2, 0.8] 范围内,则会触发警报,其中 sum 是所有记录消息的值的总和。
我尝试了几种方法,但没有奏效。请指教。
logging - Splunk 日志 - 日期比较
我已经通过 splunk 配置了我的应用程序日志,并且想要执行以下操作 -
- 当字符串具有今天的日期时获取事件
- 当字符串具有明天的日期时获取事件。
我试图为#1 编写如下查询,但它似乎没有返回任何内容
我的搜索字符串是 REGAVAIL,所有事件都采用以下格式 -
REGAVAIL|00958645030|8871|1|61745|01262017|0|N|N|Y|N|Y|N|N|O|O|O|O|O|O|O|1013|F REGAVAIL|00958647200|8871 |1|61745|01282017|0|N|N|Y|N|Y|N|N|O|O|O|O|O|O|O|1013|F REGAVAIL|00958649200|8871|1|61745| 01292017|0|N|N|Y|N|Y|N|N|O|O|O|O|O|O|O|1013|F
我想先从中提取日期 - 01262017,然后将其与今天的日期进行比较。如果找到匹配项,则应考虑该事件。
任何帮助,将不胜感激!
splunk - Splunk:当同一用户呼叫同一端点的时间间隔小于 30 分钟时查询
基于以下条目:
我想编写一个 Splunk 查询,该查询将列出同一用户对端点 1 的所有调用,时间间隔小于 30 分钟。
查询的输出将是
因为只有 entry3 是由同一用户在小于 30 分钟的时间间隔内完成到该端点的。
我尝试编写查询,但我不知道如何将其提供给普通用户。我的查询有效,但它们是针对特定用户的。
我怎样才能使它通用?
splunk - 如果我在查询中添加“ index=* ”,为什么会出现数据?
我正在使用 splunk 搜索公司的日志。
我想知道,为什么我需要在查询中添加“index=”,例如 env=dev index=
如果没有“index=*”,则不会返回任何数据。
为什么我们需要它?这是什么意思?
我很困惑,因为每个术语都应该是一个限制因素,例如添加一个过滤术语 index=*,它应该减少返回的数据集。
python - 如何从 Splunk 数据库中删除查询结果?
查询在 Splunk DB 数据删除:
我的要求:
我根据时间戳“从日期”和“到日期”查询 splunk。
在获得时间戳之间的所有事件结果列表后,我想从 Splunk 数据库中删除这些事件列表。
每个查询的结果数据都将存储在目标数据库中,因此我想从查询 Splunk DB 中删除每个查询的结果数据,这样我的下一个查询不会最终给出重复的结果,我也想释放存储空间源 Splunk 数据库。
因此,我想要一个有效的解决方案来解决如何从查询 Splunk DB 中完全删除查询的结果数据?
谢谢和问候, Dharmendra Setty
java - 如何通过 splunk sdk 在日志文件中查找唯一模式
我需要从 splunk 中识别所有独特的日志模式。我可以在 splunk UI 的模式选项卡上的模式上获取它,但希望以编程方式获取它。
我可以使用 splunk sdk 获得搜索结果,但无法找到独特的日志模式。
splunk - mvzip + mvexpand 技巧用于不同基数的字段
我需要在 Splunk 中扩展多个 MV 字段。如果一行中的每个字段具有相同的基数,则此处的答案有效。我的数据集中的一个字段有时只有一个值 - NULL - 在这种情况下,Splunk 不包括整行。
https://answers.splunk.com/answers/25653/mvexpand-multiple-multi-value-fields.html https://answers.splunk.com/answers/123887/how-to-expand-multiple-multi-value-fields .html
如何让 Splunk 也包含它?
splunk - 在 splunk 中,如何为个人创建 Private Lookup 表?
因为我正在从事网络安全项目。我需要为个人用户创建私有查找表,这样任何其他用户都不应该看到其他用户查找表的内容。我通过以下方式创建了查找表:
这12_april_lookup.csv在.../my_app/lookup/ folder. 此时此查找表权限是私有的。
但是,当我通过以下搜索命令将一些数据添加到查找表时:
然后文件将在具有全局权限的其他应用程序文件夹中创建。现在所有用户都可以通过以下方式查看文件内容
splunk-query - 搜索查询仅返回 50000 个事件/结果 560 万个事件的列表
在我尝试查询 Splunk 进行搜索查询时观察到一个问题,尽管总事件/结果几乎是 560 万个事件,但总共只返回 50000 个事件/结果列表。
我需要在任何 Splunk 配置文件中进行哪些设置?
我试过的例子:
我在下面尝试了较小的邮件,大约 160 万个事件/结果:(但没有运气)
Splunk DB 中总共有 160 万个事件/结果。但只获得 50K 结果!
limits.conf 文件片段: