问题标签 [splunk-query]

我使用以下代码进行保存的搜索请求。我得到 JSON_ROWS 格式的输出。我想得到 JSON 或 XML 格式的结果。我可以在哪里指定请求中的预期输出格式？

当我们通过 splunk 触发电子邮件时，我们希望显示 3 个具有不同结果集的表。是否有任何选项可以为单个电子邮件警报配置多个 splunk 查询？

请帮助您的输入。

我正在从 Splunk 日志创建仪表板

在此仪表板中，我想将过滤器添加到每一列。 只需写入过滤器文本框，就需要过滤数据。像这样的东西。

这是源详细信息

所以我只是想知道是否可以创建一个简单的 xml 或 html 代码，该代码具有在 splunk 中搜索所有其他最近修改或更新的仪表板搜索的仪表板？

如果是这样，当我搜索这些更新的数据库时，我想知道这些仪表板拥有的索引和数据集。

请求的表格格式 仪表板名称、索引、时间戳（显示仪表板上次更新的时间）

希望这是有道理的..请让我知道是否有可能，或者我能找到类似的方法！谢谢

我有两个这样的搜索：

我想将它们组合成一个看起来像这样的图形/表格：

非常感谢任何帮助或想法！谢谢。

我有一个日志语句，如 2017-06-21 12:53:48,426 INFO transaction.TransactionManager.Info:181 -{"message":{"TransactionStatus":true,"TransactioName":"removeLockedUser-1498029828160"}} 。如何提取 TransactionName 和 TranscationStatus 并以表格形式打印 TransactionName 及其计数。

我尝试了以下查询，但没有成功。它总是给我0。

sourcetype=10.240.204.69 "事务状态" | rex field=_raw ".TransactionStatus (?.)" |stats count((status=true)) as success_count

我正在这样做——

现在在最后而不是 dc 的 person_id 我需要一个匹配正则表达式的 person_id 计数 -

我在 dc() 中使用正则表达式尝试了上述查询，但它中断了。任何帮助将不胜感激。

询问 ：

结果 ：

618bd8ea-59dc-485f-a0a3-908adb804443

6618bb54-73fd-4d13-b2e2-72e18171a904

WF724ad888-cbd4-483f-91b3-01a95809ad7b

WF9e9f0ec6-899e-43a8-b1e3-ca158516b6f

我需要在同一个查询中再次使用上述结果来获取那些不以 "WF" 开头的记录数。

请建议。

任何帮助将非常感激。

当我收到一个文件时，我有以下日志。

2017-05-20T06:43:18,273+0000 LogLevel="INFO" ThreadId="[ACTIVE] ExecuteThread: '1' for queue: 'weblogic.kernel.Default (self-tuning)'"ServerName="ServerName" RequestId= "123456" EventCode="postData" EventMessage="校验和验证输入文件成功：myfileName100"

Splunk Query: index="myindex" "Checksum 已成功验证输入文件：" 现在我想使用 splunk 查询每小时获取上述事件的计数。请帮忙

我正在使用此命令在 my_field 上从 Splunk 获取前 200 个结果：

当我在 Splunk 中运行它时，它给了我 200 个结果。但是，当我使用 Splunk Python SDK 运行它时，我只得到 100 个结果。

有没有其他方法可以指定结果的数量？