问题标签 [splunk-query]

当我在 splunk 搜索头中键入此搜索查询时：

Splunk 会自动将计数列添加到结果表中。现在，这个计数是多少？它是每个字段计数的简单总和吗？

有谁知道如何准确计算 Splunk 中的第 99.9 个百分位数？

我尝试了以下各种方法，例如exactperc（但这只需要整数百分位数）和perc（但这非常接近结果）。

谢谢，詹姆斯

我的主机上已经有一个 splunk 转发器设置。

我在文件夹(/tom/mike/)中有某些文件。文件名以 Back* 开头。

文件的内容可以是一行或多行。每行中有多个固定位置值，用一些空格分隔，没有标题。

内容（示例：将“-”视为一个空格）

我需要每一行的 splunk 日志。

喜欢：

我知道inputs.conf更改如下：

请建议可以在 props.conf 中进行的更改。请记住，行中的每个值的分隔符都是固定的，但所有列值的分隔符都不相同（如 2 个空格）。这些文件中也没有标题。

我想有一个 Splunk 查询来显示 LDAP 身份验证/绑定到一组 AD 服务器。但是，如果这可以通过 Windows 事件找到，那么我可以在 Splunk 中编写查询。我对 LDAP 和 Splunk 有点陌生...

当前搜索（15 分钟内有 50 个左右的结果）：

这似乎只显示“消息=修改了目录服务对象”。这不是我们想要的。

另一个搜索（15 分钟内超过 6000 个结果）：

虽然我得到了更多的结果，但我似乎没有任何显示身份验证或 LDAP 绑定的内容。所有结果的事件代码是：

5136: 目录服务对象被修改

搜索 LDAP 身份验证的方式是否与我的搜索方式不同，或者是否应该在 AD 或 Splunk 上进行更改以允许查看 LDAP 身份验证？

谢谢， C

我正在尝试在某些服务端点的 splunk 中创建一个表以及每个端点所花费的计算时间，现在我想根据时间显示选定的端点的问题。这是我为显示字段而编写的查询。

只有当它们超过 1 秒时才应该只显示端点。

我正在做以下搜索：

这将返回一个事件，并且在其方面我有一个名称：xyz 和 results.sum：123

总和对应于名称，我需要在条形图上绘制这些图表。

以下是返回内容的示例：

原始格式：

这是我迄今为止所做的尝试绘制图表，但由于一行中有多个值，它不起作用。此外，“总时间”值没有与其相应的结果对齐，例如 58245.xxx 应该在“WebTransaction/MVC/ProductController/Category”旁边，但事实并非如此，我再次假设这是因为它们都被转储了成一排。

最后，我尝试了 dedup/table 来获得我需要的内容，并且 results.sum 与每个名称对齐，但是再次尝试将这些名称的所有值组合为一个，因为它们在一行中。

我有 2 个不同的仪表板，我试图通过链接将两个仪表板链接起来，这样两个仪表板都可以通过彼此访问。我不能将两者都放在同一页面中，因为加载时间会更长。我采取的方法是使用向下钻取

但这对我不起作用：/

在 Splunk 中，我想以每周累积的方式显示数据，但下面的查询是从“周四到周四”而不是“周一到周日”计算数据。

请帮忙。

如何在 Splunk 中显示树结构数据库表/集合（任何数据库）。例如：如果我们有具有 ChildA 和 ChildB 的 Parent。进一步的 ChildA 有 ChildA1、ChildA2 和 ChildA3。ChildB 有 ChildB1 和 ChildB2。当我选择父级时，它应该在 Splunk 中显示它的所有连接子级。

我发现我可以创建一个 Splunk 查询来显示某种事件类型的结果出现在结果中的次数。

这将创建一个像这样的表：

到目前为止，一切都很好。但是，我想找到结果为零的事件类型。不幸的是，计数为 0 的那些不会出现在上面的查询中，所以我不能只过滤。

如何为未使用的事件类型创建 Splunk 查询？