问题标签 [splunk-query]

问问题

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

524 问题
Newest
Active
Bountied
318
Unanswered
0 投票
2 回答
9119 浏览

splunk-query - 在 Splunk 中将 JSON 数组解析为表

我需要一些帮助才能将 JSON 数组解析为 splunk 中的表。在 splunk 中有以下 JSON 数据

我期待输出为

感谢任何帮助。

问候

0 投票
1 回答
4766 浏览

regex - 正则表达式从 Splunk 中的单个字符串中提取两个值

我记录了 Splunk 中出现的语句,如下所示。

info Request method=POST, time=100, id=12345

info Response statuscode=200, time=300, id=12345

我正在尝试编写一个 Splunk 查询,该查询将从 info Request 和 info Response 开头的行中提取时间参数,并基本上找到时间差。有没有办法在查询中做到这一点?我能够从每个语句中分别提取值,但不能同时提取两个值。

我希望得到类似下面的东西,但我猜管道不起作用:

... | search log="info Request*" | rex field=log "time=(?<time1>[^\,]+)" | search log="info Response*" | rex field=log "time=(?<time2>[^\,]+)" | table time1, time2

非常感谢任何帮助。

0 投票
1 回答
298 浏览

charts - 如何在图表管道后保留 Splunk 中的表字段?尝试将值连接到“over”参数中,但得到“未找到结果”

我有一个搜索,基本上我想显示每个客户每个工作区的用户类型数量,但我只能将客户名称和用户类型输入表中。

这就是我所拥有的:

我查看了这个 splunk 论坛问题的回复:https://answers.splunk.com/answers/390709/how-do-i-add-extra-fields-to-a-chart-count-over-fi。 html?utm_source=typeahead&utm_medium=newquestion&utm_campaign=no_votes_sort_relev但是当我把

在图表之前,我没有返回任何结果。我需要表 customerName sfdcAccountGuid workspaceGuid Builder Contributor and Viewer

0 投票
2 回答
1180 浏览

splunk - 如何为不存在的时间桶生成行?

我制作了一张这样的表格:

我想知道:每秒每个(field_1+field_2)组合的平均和最大计数是多少。问题是 _time 缺少几秒钟,所以stats count结果只给我现有时间桶的聚合结果。

对于每个(field_1+field_2)组合,如何扩展此表以包含每个丢失的时间秒数,只需填充 count=0?只要我能做到这一点,我可以简单地通过stats avg(count) max(count) by field_1 field_2.

0 投票
0 回答
176 浏览

splunk - splunk 工作流操作不起作用

我正在尝试使用 splunk POST 工作流操作创建事件。从我尝试触发工作流操作的事件开始,会打开一个新窗口,并且查询字符串会附加到 URL,但字段中未填写值。

如何解决这个问题?

0 投票
1 回答
158 浏览

splunk - Splunk 查询减去时间

我有一个这样的 Splunk 搜索查询:

我的日志中有这样的 start 和 ebdtime:

时间:2018-03-14T19:18:10.851

电子时间:2018-03-14T19:19:20.667

我得到 Totaltime 是空的,即没有值。这个查询有什么问题?在此处关注 Splunk 论坛:链接

0 投票
1 回答
2790 浏览

splunk - 如何在 splunk 中找到所有仪表板以及使用信息?

我需要在我们的 Splunk 实例中找到过时的数据 - 以便我可以将其删除

我需要一种方法来查找所有仪表板,并按使用情况对其进行排序。从审核日志中,我已经能够找到所有积极使用的日志,但由于我的目标是删除数据,我最需要未使用的仪表板

有任何想法吗?

0 投票
1 回答
2817 浏览

splunk - Splunk 条件计数

我有一些关于导入到 Splunk 的文件的 CSV 数据。数据如下所示:

我已使用以下方法将所有日期字符串转换为纪元:

我想得到:

  • 上次访问的文件百分比是在 6 个月到 3 年前之间
  • 上次访问的文件的百分比是 3 年或更长时间前。

这是我在卡住之前尝试过的搜索查询:

我尝试过使用以下命令:

但是,这不包括其他所有内容(3y+)

我希望结果看起来像:

0 投票
1 回答
95 浏览

splunk - Splunk:找到用户正在搜索的内容?

我正在尝试编写一个 Splunk SPL 查询,它将向我显示用户在我的一个 Web 应用程序中寻找的最流行的搜索词。我已经在 Splunk 中有日志,但我很难从事件中提取搜索参数。该事件显示完整的 SQL 选择语句,如下所示:

我怎么能有这个:

我如何实际捕获搜索词?

谢谢

0 投票
0 回答
528 浏览

curl - Splunk rest curl 查询无法在会话密钥授权的连续尝试中执行

第一次尝试创建 splunk SID,但在连续尝试创建搜索 ID 时失败。在连续尝试创建 SID 后轮询/使用搜索时会出现同样的问题。任何人都可以指出帮助缺失的部分吗?

使用的卷曲查询:

curl -H '授权:Splunk sessionkeyincluded' https://hostname:60659/services/search/jobs -d search="search sourcetype=\"xx:yy\" early=\"03/19/2018:07:00 :00\" 最新=\"03/19/2018:07:15:00\" | 统计数据"

连续尝试失败,身份验证失败提及“呼叫未正确验证”


12345678910