问题标签 [splunk-query]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
splunk - 如何在 Splunk 中查找与模式不匹配的所有事件?
我试图在 Splunk 中查找与特定字符串不匹配的所有事件。就我而言,我正在尝试为 ResponseCode:401、ResponseCode:404 等的所有事件构建一个报告。我简短地说它可能是 200 以外的任何事件。
但不知道该怎么做。
以下是一些示例事件。
事件:
使用正则表达式搜索头部命令:
index="my_cw_index" | regex (?:[^ResponseCode\:200]*)
输出
splunk - Splunk 登录失败报告
我对 Splunk 比较陌生,我正在尝试创建一个报告,该报告将显示主机名和主机在过去五分钟内登录失败的次数(当他们失败 3 次或更多次时)。我能够获得我想要的初始搜索结果的唯一方法是仅在过去 5 分钟内查看,正如您在我的查询中看到的那样:
index="wineventlog" EventCode=4625 earliest=-5min | stats count by host,_time | stats count by host | search count > 2
这将返回主机和计数。问题是,如果我在报告中使用此查询,它可以每五分钟运行一次,但之前列出的主机将被删除,因为它们不再包含在搜索结果中。
我找到了生成日志的方法,然后我可以单独搜索(http://docs.splunk.com/Documentation/Splunk/6.6.2/Alert/LogEvents),但它没有按我预期的方式工作。
我正在寻找可以帮助我获得预期结果的任何这些问题的答案:
- 我的原始搜索是否可以改进为仍然只获得登录失败在 5 分钟内但能够在任何时间段内搜索的结果?
- 有没有办法将我已经拥有的查询的结果发送到报告中,当再次运行搜索时结果不会被清除?
- 有没有我没有考虑过的其他选择来达到预期的结果?
splunk - 随着时间的推移,按小时分组事件计数
我目前有一个查询汇总过去一小时内的事件,并在事件超过特定阈值时提醒我的团队。该查询最近被意外禁用,事实证明有时应该触发警报但没有触发。
我的目标是将此警报查询逻辑应用于上个月,并确定警报会触发多少次,如果它正常工作的话。但是,我很难弄清楚如何最好地对这些进行分组。在伪代码中,我基本上会拥有(运行超过 30 天的时间框架):
希望这是有道理的,如果没有,我很乐意提供一些澄清。
提前致谢
splunk - Splunk 如何组合两个查询并得到一个答案
我对 Splunk 还很陌生,基本上被彻底抛弃了!!对语言也很陌生,所以下面的任何帮助和提示都会很棒。
我想要得到的结果是加入查询并获取用户名、ID 和登录次数。
查询来自差异源、源类型和主机。
查询 1 是用户名和 ID,查询 2 是用户名和登录次数。
查询一:userName=" " entityNumber=" " | 评估用户名=上(用户名)| 去重用户名,实体号 | 将用户名重命名为用户 | 表用户,实体编号
查询2:“登录成功。” | rex field=_raw "用户[\":] (?[^\"IP] )"| 评估用户=上(用户)| 表用户 | 按用户统计
在此先感谢您的帮助。Ĵ
splunk - 从 Splunk 搜索查询调用外部 rest api
我正在寻找是否可以从 Splunk 搜索查询面板调用外部 REST api(GET 调用,示例 url 如下所示),解析 JSON 响应并显示在表格中。
Splunk 是否允许直接从搜索查询而不使用任何插件/附加组件进行此操作?
iframe - 如何将 Splunk 查询中的时间表可视化嵌入到 Web 应用程序中?
我有以下 Splunk 查询,可生成以下可视化:
我想使用 iframe 将这种精确的可视化嵌入到 Web 应用程序中。我怎样才能做到这一点?
目前,我正在使用 Splunk HTTP REST API,并且可以使用以下端点提交并从该搜索中获取结果:
/servicesNS/nameofmyapp/nameofmynamespace/search/jobs/1535641234.45678?output_mode=json
但是,我想要一个可以嵌入到 iframe 中的可视化的 src URL。是否有一个我可以查询的端点来提供可视化的 URL?
java - splunk 检查消息是否包含某些字符串
在 Splunk 搜索查询中如何检查日志消息是否有文本?
日志消息:
我想检查消息是否包含“连接成功,创建遥测消费者......”并基于此希望将 1 或 0 分配给变量
Splunk 搜索查询
success_status_message 始终为空
query-optimization - 有一个连接查询,我需要使用 OR 和 Stats 进行优化,我是 splunk 的新手,我很困惑如何开始
index="index1" sourcetype=sourcetype1 | join commonfield [ search <br>index="index2" sourcetype=sourcetype2 ] | sort _time | stats <br>last(index1field1) as state by index2field1, index1field2, index1field3 <br>| where index1field1 != "UP" | dedup index2field1 | stats count
我想在不使用统计信息和 OR 的情况下优化此查询,有人可以帮我吗?
splunk - 按时间合并事件以创建 3D 散点图表格
我有一个事件列表,内容如下
这些值是坐标(X,Y,Z),我想在 3d 散点图中可视化。不幸的是,我在一个事件中拥有每个坐标。
我如何合并这些事件以在之后创建一个表
???