问题标签 [splunk-query]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
splunk - 查找特定字段已更改的事务
我正在尝试在 Splunk 中查找无序事件。这个例子类似于我们系统中发生的事情:
在特定场景发生 BlockChange 事件后,需要在分配新 Block 之前对其进行确认。虽然偶尔会在 BlockChange 事件之前收到 BlockChangeConfirmed 事件(参见 Ids 16 和 18)。我正在尝试编写一个查询来识别这些无序事件。
我的方法是只考虑 Block* 事件,按 ScenarioId 将它们分组为事务,从 BlockChangeConfirmed 开始,在 10 秒的时间跨度内以 BlockChange 结束。因此,从逻辑的角度来看,它会将上述数据转换为:
这正确识别了 ID 16 和 18,但也错误地识别了 20 和 21。所以我需要包含 Block 字段,因为它总是在相应的 BlockChange 和 BlockChangeConfirmed 事件之间变化。
不过,我无法在 Splunk 中表达这一点。根据我使用的查询,它要么返回每个BlockChangeConfirmed 事件,要么不识别 Block 字段何时更改。
这是我正在使用的基本查询:
我尝试将条件添加和更改为:
没有成功。
我怎样才能得到我想要的结果?
splunk - 合并多个 Splunk 结果
我需要编写一个 Splunk 查询以在给定 pid 时获取状态,应打印最后一个状态,编写单个查询以获取状态但不知道如何合并查询。参考了一些文档但找不到方法。
splunk - 根据字段的平均值设置 Splunk 警报
我是 Splunk 的新手,如果我的问题太天真,请原谅我。如果字段的平均值高于阈值,我想设置 Splunk 警报。我的搜索如下:
如果我使用
我可以看到表格列出了字段 f1 的平均值。但是stats avg(f1)我在统计面板下没有得到任何东西,如果 f1 的平均值高于 100 毫秒,我不确定如何设置警报。
splunk - Splunk 搜索类似“Response Elapsed: 00:00:00.0594215”这样的日志模式
我的日志中有一些信息如下:
" .....响应已过:00:00:00.0194215....
.....响应已过:00:00:05.0174875....
.....响应已过:00:00:11.5434871....
.....响应已过:00:00:01.342283...."
我想搜索经过时间> 5秒的结果,在上述信息中,结果应该是
响应时间:00:00:11.5434871
响应时间:00:00:05.0174875
我试过“ | Regex”/^Response Elapsed: 00:00:00.0[5-9]/“ ”,但它不起作用。
splunk - Splunk:获取字符串的所有出现次数?
我的日志文件在同一个实例中记录了一堆消息,所以简单地搜索一个消息 id 后跟一个计数是行不通的(当我想每个事件计数多达 50 个时,我只会计算每个事件 1 个)。我想首先将搜索范围缩小到显示正在发送消息的事件(“入队”),然后计算字符串“mid”的所有实例。
有任何想法吗?我对 splunk 很不满意。如何让“mid”的所有实例成为可数字段?
splunk - 如何破坏同一行中的两个 Splunk 日志?
我试图打破记录在同一行中的两个日志,因为下一个日志在提取时没有在结果中发布,而它显示在事件日志中。
如果您看到上面的日志,这两个事件被设置在同一行中,但我无法在表中提取为两个事件。
请建议我如何将其提取为两个事件。
splunk - 如何将一个搜索的结果传递到 splunk 中另一个搜索的 IN 子句?
我运行查询并以表的形式获取 custId 列表。我如何将此结果传递给 IN 子句中的另一个搜索查询。
例如:
搜索 1: index=* "successful login for"|table custID 这给了我带有 custID 列的表。
然后我必须跑
index=* "邮件发送者"|where custID IN (search 1) |table CustID,_time
splunk - 如何为 splunk 中的用户列表找到特定事件的首次出现
对于 splunk 中的用户列表,我必须首先发生特定事件。
例如:我有来自另一个查询的用户列表说 10。
我正在使用下面的查询来查找客户 12345 发送的第一封邮件的日期。如何从另一个查询中找到相同的客户列表?
index=abc appname=xyz "12345" "*\"SENT\"}}"|reverse|table_time|head 1
splunk - 如何在 Splunk 中解析 JSON 指标数组
我从 API 收到以下格式的 JSON:
当前尝试在线性图表上显示这些指标,X 轴为 dateTime,Y 轴为“s”。
我使用以下搜索查询:
我收到以下格式的数据,不适用于线性图表。关键是 - 如何正确解析 JSON 以将日期时间从dateTimeJSON 中的字段应用到_timeSplunk。
splunk - 仅使用单个值提取特定字段值
需要提取只发送了一条短信(已接收)并且也“停止”的客户 msisdn(发件人)。日志如下 -
2018 年 5 月 27 日晚上 11:38:29.598 [2018-27-05 23:38:29.598 UTC] INFO pool-1-thread-3 [receivedSmsFileLogger] - 收到 = “JE S8 TELMA MALADE”,发件人 = “0765473387” , 有效 = "false" 主机 = Vapp01SN 源 = D:\MIP\Logs\SMSC\Cycle1\received_sms.log 源类型 = MIP_Received_SMS
2018 年 5 月 27 日晚上 9:28:30.569 [2018-27-05 21:28:30.569 UTC] INFO pool-1-thread-2 [receivedSmsFileLogger] - 收到 = "''STOP''",发件人 = "0765757431 ", 有效 = "false" 主机 = Vapp01SN 源 = D:\MIP\Logs\SMSC\Cycle1\received_sms.log 源类型 = MIP_Received_SMS
5/27/18 9:26:25.034 PM [2018-27-05 21:26:25.034 UTC] INFO pool-1-thread-1 [receivedSmsFileLogger] - 接收 =“1OUI”,发件人 =“0765757431”,有效 = “假”主机 = Vapp01SN 源 = D:\MIP\Logs\SMSC\Cycle1\received_sms.log 源类型 = MIP_Received_SMS
2018 年 5 月 27 日晚上 9:06:36.889 [2018-27-05 21:06:36.889 UTC] INFO pool-1-thread-3 [receivedSmsFileLogger] - 接收 =“STOP”,发件人 =“0766108902”,有效 = “真实”主机 = Vapp01SN 源 = D:\MIP\Logs\SMSC\Cycle1\received_sms.log 源类型 = MIP_Received_SMS