问题标签 [splunk-sdk]

我需要为单个用户名返回每天最早的登录时间。但是，某些退货与该日期的登录不匹配。如下查询：

结果：

如您所见，有些日子将他们最早的登录作为前一天的登录返回。我需要匹配左侧和右侧的日期，并且我需要在一个查询中将所有这些都放在一起，我已经知道如何一次执行一个查询。感谢您抽出宝贵时间提供帮助！非常感谢！

我有一个如下的搜索字符串：

索引=qrp 进入 (ORDER_EVENT) | 桶_时间跨度=1h | timechart useother=f span=1h sum(TRADES) as "TradeCount" by ODS_SRC_SYSTEM_CODE | 填充空值=0

目前，这为我提供了来自舞台表交易事件的多个源系统的交易汇总，以表格格式在一天中的每个小时进行。

我需要准确搜索每天早上 8 点的时间范围，表中所有源系统的交易太阳值是否等于零。如何添加条件以检查列值是否为零？

非常感谢您的帮助。

我想看看 Splunk 通用转发器使用他们的“熟”格式版本 3 发送了什么。有人知道这种格式是如何编码的吗？

这是我目前看到的：

我正在尝试从多值字段中提取匹配的字符串并显示在另一列中。我尝试了各种选项来通过分隔符拆分字段，然后 mvexpand 然后用户 where/search 来提取这些数据。我试图找出是否有更简单的方法可以做到这一点，而无需在 SPLUNK 查询中遇到所有这些麻烦。

示例：假设我有以下多值 column1 字段，其中数据由分隔符逗号分隔

column1 = abc1,test1,test2,abctest1,mail,send,mail2,sendtest2,new,code,results

我正在使用分隔符拆分此列|eval column2=split(column1,",")，并使用 regex/where/search 在此列中搜索数据*test*并返回结果，我能够在其中提取结果但 column1 仍然显示所有值abc1,test1,test2,abctest1,mail,send,mail2,sendtest2,new,code,results ，我想要的是修剪 1 column1仅显示匹配的单词test或显示新column2中的那些条目，这些条目应仅显示此单词test1,test2,abctest1,sendtest2，因为它们仅匹配*test*。

我会很感激你的帮助，谢谢。

我有一个 splunk 查询，它返回特定字段的值列表。值的数量可以远远超过 100，但返回的结果数量限制为 100 行，我得到的警告是这个 -

'stats' 命令：达到字段 'FieldX' 的值的限制。某些值可能已被截断或忽略。

有问题的查询可以像这样简单 -

| 统计列表（FieldX）

请注意，我不能使用表 FieldX ，因为我希望根据另一个字段对结果进行分组。我也不能使用stats values(FieldX)因为我从一个事件中提取 2 个字段并且这些字段具有一对一的映射，如果我使用stats values()，顺序就会混乱。

我尝试了stats list(values) limit=500但它没有帮助。我怎样才能返回所有结果？

我正在开发一个插件来根据警报收集事件结果并将其发送到 API 端点。一旦响应成功，端点就会以 JSON 格式返回成功消息，我想将其存储在自定义索引和源类型中。

我尝试使用下面的代码，但数据被写入主索引而不是我的自定义索引。有没有办法通过 Splunk Add-on 构建器将事件写入自定义索引以构建警报操作？

我间歇性地从 Splunk API 返回以下错误（大约 40% 的时间搜索按预期工作）：

HTTP 503 服务不可用 -- 未执行搜索：无法分派此搜索，因为已达到用户“[已编辑]”的搜索工件的基于角色的磁盘使用配额（使用量 = 1067MB，配额 = 1000MB）。使用 [[/app/search/job_manager|Job Manager]] 删除一些搜索工件，或要求 Splunk 管理员在 authorize.conf 中为您的角色增加搜索工件的磁盘配额。，usage=1067MB，配额=1000MB，用户=[已编辑]，concurrency_category="historical"，concurrency_context="user_instance-wide"

splunk api 中搜索的默认 ttl 为 10 分钟（至少对于我的公司而言）。我被告知我需要降低我的搜索（大量）的 TTL，并且我将停止用完空间。我没有管理员权限，因此无法即时增加空间或清理空间（据我所知）。我可以找到有关如何使用保存的搜索来降低 TTL 的代码，但我使用一次性搜索。对我来说切换是不合理的。

如何降低单次搜索的 ttl？这是我现在拥有的似乎不会降低 TTL 的内容：

我有一个索引 idx1 和另一个索引 idx2 以及一个需要进行匹配的公共列“A”。

我在合并两列数据时遇到了困难。我必须以这样的方式组合数据，如果有重复，那么来自 idx1 的数据必须优先于来自 idx2 的数据；即基本上相当于集合操作[a+(ba)]。

我尝试了以下方法：

在这里，我得到了两列填充的总计 10840 个统计信息。

但是，当我想显示两个索引中的其他列时，我会得到这些索引的空列。

执行后：

我得到的输出为

索引计数 idx1 4791 idx2 6049

谁能帮我我该怎么做？？

我什至尝试过，但不确定

不确定这是否已得到解答，但我似乎没有找到任何解决方案。

我正在使用 C# Splunk 客户端连接到 Splunk 服务器并获取一些搜索的结果。

我可以得到简单搜索的结果。也就是说，如果我在搜索中使用“|head”来限制“事件”的数量。如果发回的 ebtries 太多，我会在 C# 中超时。

此外，如果结果太复杂，它会超时。

Splunk 中的作业检查器本身仅显示 9.232 秒的 30,018 个事件。我将要返回的事件数量限制为 100“|head 100”，所以不明白为什么 C# 会抱怨。有什么方法可以抑制 C# 中的超时？

我很感激帮助。

SearchResultStream 流；流 = 等待作业。GetSearchResultsAsync(); << 这里发生超时

System.Threading.Tasks.TaskCanceledException：任务被取消。在 System.Runtime.CompilerServices.TaskAwaiter.ThrowForNonSuccess（任务任务）

我是 Splunk 及其应用程序的新手。

我的要求是当 Splunk 获得像“登录成功”这样的特定日志时，我想将整个消息发送到 rest API。

我可以使用调度程序调用 Splunk-Api 并获得结果，但我不想使用任何调度程序。

我们如何在 Splunk 本身中实现这一点。