问题标签 [splunk-query]

1. 以下搜索会返回相同的结果吗？

   搜索 1：ssh error
   搜索 2：ssh AND error

2. 以下搜索不会返回相同的结果吗？

   搜索 1：purchase
   搜索 2：action=purchase

任何人都请告诉我如何执行命令 - 统计数据以生成有关 GAMES 等于 FOOTBALL 的次数的报告？

我一直在使用 Splunk 作为日志监控工具，但最近知道我们将获得网络流量和每个 URL 的点击次数。

例如，我有一个如下所示的 URL，我想知道上周发生的点击总数：

我需要编写什么查询来获取 Splunk 中每天/时间段的点击次数（计数）？

我试过这个：

在过去 15 分钟内返回 >1000 次点击数，这是不正确的。

提前致谢。

我是 Splunk 的新手。我想使用邮政编码或城市创建地图。我使用以下查询来获取邮政编码和城市：

上述查询的输出如下：

我想知道如何使用上述数据绘制 Splunk 地图。请帮助我做到这一点。

注意：我没有任何纬度/经度数据。

我是 Splunk 的新手。我想根据日志中的 JSON 字符串创建仪表板。我附上了我的搜索结果：

orderLineCollection.orderLines{}.serialNumber我想获得使用 Splunk 查询的统计数据。我尝试了以下查询来获取统计信息：

但它不起作用；它不返回任何值：

未找到结果

任何人都可以帮我做吗？

我正在尝试将一个字段添加到一个事件的所有日志行，该事件具有与之关联的一些 ID。第一个日志行包含一些我想一直传播到最后一个日志行中的字段的信息。如何做到这一点？能够将其作为字段提取或类似的东西来做会很好。

在 Splunk 中，我想搜索除并发超时异常之外的任何异常。并发超时异常在日志中显示为“java.util.concurrent.TimeoutException”或“并发超时异常”。如果我执行如下查询：

Splunk 将查找所有不包含“java.util.concurrent.TimeoutException”的异常（包括那些包含“并发超时异常”，这是预期的）。但是，我不知道如何消除“java.util.concurrent.TimeoutException”和“并发超时异常”。当我尝试时，它似乎消除了所有异常，而不仅仅是那些包含上述两个字符串的异常。

我尝试过类似的东西：

认为它会找到所有异常，但不会找到两个不需要的字符串。如果它们中的任何一个评估为真，那么该语句将为真，因此我们将找到所有例外情况！该语句为真。

没用。我尝试了其他各种组合，但无济于事：

谁能在这里指出我正确的方向或提及我做错了什么？谢谢。

我已经安装了Splunk Enterprise 试用版。我已启用此处所述的HTTP 事件收集器功能，该功能可以将机器数据从我的应用程序发送到 Splunk。

我尝试使用Postman向Splunk发送POST请求，但没有得到响应。

1. 如果我已经启用了 HEC 功能，为什么没有响应？似乎根本没有服务器在该端口上侦听。
2. 我对 Splunk 不了解的是——我的数据存储在哪里？Splunk Enterprise 的数据是否仅存储在本地并且应该在公司LAN网络中使用？还是 Splunk 在云中存储我所有数据的自己的服务器？Splunk Enterprise和Splunk Cloud在该主题上是否不同？

如何从搜索返回的 splunk 事件列表中获取特定 splunk 事件的 URL？

如果这是不可能的，并且我需要创建一个只返回该事件的搜索，那么我可以在查询中使用的每个事件是否有一些唯一的 ID？

我们需要在 splunk GUI 上显示 elasticsearch 数据有没有办法从 splunk GUI 查询 elasticsearch 并在 splunk GUI 上获取结果