问题标签 [splunk-query]

我将每个事件都作为一个 JSON 对象，下面由 Splunk 索引。我怎样才能有一个 Splunk 查询，以便我发现所有这些故障都发生在数组"failed"和"passed"数组中？

对于上面的示例，结果将是"fail_2"。

我有两个特定的搜索字符串用于缩小搜索范围，格式为： index=someIndex "searchtermA" OR "searchTermB" | ....我希望能够绘制这两个值的图表（作为它们自己在一个图表中的唯一计数），但是事实证明，在为这两个搜索词进行字段提取时，字段提取存在太多问题。它们也不是事件或源或源类型。

因此，我一直在尝试查看 eval 是否可以以某种方式制作一种标记并将其设置为该搜索词，以便图表/统计信息/等可以使用它。

任何帮助将不胜感激！

我一直试图让我的 splunk 查询正确，以便将这一事件拆分为多个事件，但由于某种原因，我无法正确查询。

我试图在换行符上拆分，但结果集不变。我从在线阅读中了解到，我应该使用以下内容

顺便道歉。我的正则表达式游戏不强。

我有一行包含

我想sn_GB]在 splunk 之后打印整行，即

我使用了以下正则表达式：

但它与GB]like一起打印GB] Welcome : { Name:{Customer1},Place:{Mumbai},}。在单词sn_GB中 ,sn_是常数，其余两个字母会有所不同，例如GB, LB, KB,TB等。

请帮助我更正正则表达式。

谢谢

我目前正在将我公司的所有报告迁移到 Splunk Data Labs 输入以供摄取。报告使用 CREATE TABLE 格式创建临时表，该格式与 Splunk 不兼容，但是 SELECT INTO 格式可以正常工作。

但是，当更改为 SELECT INTO 格式时，我得到的错误是应该是 MM/DD/YYYY hh:mm 格式的 DATETIME 变量丢失了 hh:mm 结尾，而是显示 MM/DD/YYYY MM/DD/年年：

原始 SQL：

修改后的 SQL：

• 原始输出：“07/12/2018 10:00:00”
• 修改后的输出：“2018/07/12 2018/07/12”

我正在努力解决以下查询：搜索.. | 表.. AA_ID，BB_ID .. | 其中 (match(AA_ID, $AAID$) OR isnull($AAID$)) AND (match(BB_ID, $BBID$) OR isnull($BBID$)) 。

$AAID$ 和 $BBID$ 来自我制作的仪表板中的输入变量，它们是文本类型。我希望当用户没有输入或设置像'all'或'*'这样的变量时显示所有结果，但它没有像我预期的那样工作。有很多使用 where 或 search 子句控制查询结果的示例，但我还没有看到控制输入变量的示例。

请让我知道，如果你知道什么或相关的。提前致谢！

在 Splunk 上的搜索头中运行命令后，我试图从搜索结果中删除一个字段。

但是，正如您在我尝试运行的以下命令中看到的那样，我看到以下错误。我对 Splunk 很陌生，不确定我需要做什么。请指导。

我真的可以使用持续警报来捕捉某个错误代码（例如 404 或 502 等）的突然上升（峰值） . 我真的可以在脚本上使用你的帮助:-)

据我了解，搜索查询应该“知道”或“感知”正常流量（不确定多长时间，可能是 1 小时、2 小时），并在错误代码与 1-2 小时前相比出现峰值时发出警报。我认为错误代码峰值阈值应该超过总流量的 5%，同时发生时间超过 90 秒。

这是我今天使用的 Splunk 查询，感谢您帮助将其调整为我上面描述的内容：

搜索 1：

app="atlas" source="/usr/local/homeaway/atlas-production/logs/*" index="aws_prod_applogs" 泰坦 | 按 date_mday 统计的 avg(*responseTime)

搜索 2

app="atlas" source="/usr/local/homeaway/atlas-production/logs/*" index="aws_prod_applogs" Titan statusCode=200 | 按 date_mday 统计的 avg(*responseTime)

如何加入 2 个不同的搜索查询？

我想在查询后打印 Splunk 中某个事件的行数

例如：index=* host=* source=*application*此查询提供所有事件，但我想打印/获取每个事件的行数。我尝试了len()Splunk 查询，但它对我不起作用