问题标签 [splunk-query]

我在 splunk 中有一个列，我想用它来显示总数。我希望美元符号 ($) 出现在总计列中的数字之前。

这是我的查询：

如何让 UnBlendedCost 列中的数字显示在前面带有美元符号？

这可能是一个非常简单的问题，但我还没有找到答案。我有一些来自某些事件的原始数据，例如“（持续时间 5555 毫秒）”，我想将其放入“| timechart span=1m count by duration”以创建一个图表，显示这些事件发生的时间及其总数期间。目前没有为持续时间设置字段，它只是原始数据。我如何将这些数字纳入我的时间表？

尝试使用 url 时，我得到 URI 不能为空

下面是我的代码，

获取异常“ URI 不能为空”Service service = Service.connect(loginArgs);

我的代码有什么问题？

Splunk Universal 转发器能否用于从特定服务器中删除日志。

例如，我在运行应用程序的服务器上安装了一个通用转发器。UF 的目的是将此应用程序的日志发送到 splunk 服务器进行监控。但是，此应用程序存在负载问题，需要进行日志轮换，否则服务器将关闭。我知道有设置日志轮换的常规方法，但是 Splunk UF 可以用于从源服务器中删除日志然后编制索引，而不是仅仅复制数据并编制索引吗？

如果你们需要进一步澄清，请告诉我。

我有这样的数据：

事件 1：field_name=field_value，status="process"，status_file="file_name"

事件 2：field_name=field_value，status="send"，status_file="file_name"

事件 3：field_name=field_value、transfer_status="transferred"、transfer_file="file_name"

事件 4：field_name=field_value，fatal_type1 = "reason1"，fatal_type1_file="file_name"

事件 5：field_name=field_value，fatal_type2 = "reason2"，fatal_type2_file="file_name"

从上面所有事件的共同值是 file_name 其余的都是不同的。如果文件名与其他文件类型匹配，它应该列出我想要的所有报告，如下所示

文件名、文件类型、文件类型计数

abfskjsfjskjjv，{进程，发送，转移，reason2}，4

hrhashlahsf,{过程, reason1}, 2

fhkawuruhshfhuaf,{处理、发送、转移}, 3

我正在使用 splunk 仪表板。下面是示例表和查询

index="myindex" message=" ApiImpl " "成功=true" | 雷克斯字段=消息“执行时间=（？。*）”| 表方法 response_time | stats avg(response_time) as "avg", min(response_time) AS "min", max(response_time) As "max" by method

如果我单击更新行中的 189，现在在结果表上。在新的或相同的窗口中，它应该会打开相同的搜索以及 method=update 和 response_time=189。由于表格很简单，我们可以做出来。但是当我单击特定单元格时，我的表格非常大，它应该使用选定的过滤器打开。

新的搜索结果应如下所示打开。或者应该使用最大响应时间 189 的更新方法直接打开日志事件

您能否帮我提供一种查询或表格选项之类的方法来获得新的搜索？

我有类似的事件：

对于每个任务（任务 ID 相同），我们在创建/启动/结束时都有事件。

我想搜索是否有任何任务从未被处理（任务已创建但未启动）。这是我的搜索声明：

如果时间范围小于 48 小时，则此语句可以正常工作。如果将时间范围设置为，例如最近 7 天，则上述搜索语句将无法正常工作。它返回很多任务（类别=已创建），这意味着这些任务永远不会被处理。实际上，它们已被处理，我可以通过 taskId 搜索事件（类别=启动）。

我不知道它有什么问题。似乎子搜索在主搜索范围内没有返回正确的结果。

我从 Splunk 开始并尝试解决问题。我有一个包含数百万条日志记录的数据集。用例是识别特定角色不寻常的事件并突出显示事件和用户。下表给出了数据的快照。任务是附加最后两列，并为每个角色确定发生的附加事件相对低于同一角色中的其他附加事件。

如果我想为角色“提供者”找到异常事件，输出应该是

同样，如果我想找到角色“医师”的异常事件，输出应该是

我也在寻找一种方法来可视化这样的报告。对此的任何帮助都会很棒

我有一个字段，其中所有值都具有以下格式：

知识:xyz,id:2907129

id 号码总是在变化，但是，我想要的只是 xyz 的值。

我使用以下内容删除“知识：”e

对于 id 部分，使用 ",id*" 在 eval replace 函数中不起作用。

我最近开始研究 splunk。我有几个 Apache tomcat 服务器，我想使用 splunk 工具分析日志并创建报告。我浏览了 Splunk 所需的所有基本文档，但仍然无法弄清楚它可以实现的所有功能。

到目前为止我尝试的是下面提到的搜索字符串

我现在能够获得基本的搜索结果，但无法实现报告类型的查询。

您能否分享一些好的教程，tomcat-splunk integration让我了解报告的基本思路，例如

1) 根据服务器的访问日志，一天、一周、一个月有多少用户访问了应用程序功能？

2) 出现错误代码及其频率图。

3) 用户特定的错误报告。

4) Splunk 在获取日志文件中的特定错误代码后能否触发一些通知。

对于上述所有查询，我都有数据，而且我可以使用我的 Unix 脚本来执行工作，但我想减少手动干预，并在 shell 脚本上添加一些签证数据分析。

如果您有好的教程或相同信息的链接，请告诉我。提前谢谢了。