问题标签 [splunk-sdk]

首先，也许我正在寻找的东西是不可能的，或者我走错了路。请建议。

考虑一下，我的原始数据有 n 个参数，每个参数用“&”分隔。

使用 SPL，我只过滤了我感兴趣的几个字段（ACC、X、Y）。现在，我想只使用表格格式的过滤字段生成报告，而不是整个原始数据。

对于此示例： https ://github.com/splunk/splunk-sdk-javascript/blob/master/examples/node/helloworld/search_normal.js

当我修改第 53 行时。

对于这个新查询

我得到错误。我将如何在节点中重写此查询以执行。

错误：

当我将查询修改为：

我明白了

我有一个带有提交按钮（submitButton）的仪表板。在按下按钮之前搜索不会运行，这正是我想要的（搜索需要很长时间）。我不希望在用户更改其他下拉列表（时间）、环境（产品与质量保证）等时开始搜索。

但是，有时在不更改任何其他字段（时间、环境等）的情况下点击提交按钮并再次执行搜索会很好。在这种情况下，提交按钮什么也不做！我可以通过搜索得知基础数据已更改，但仪表板未更新。只需更改任何字段，进行搜索，然后将它们更改回来并再次搜索即可解决问题，但是提交按钮肯定应该在没有这种解决方法的情况下工作吗？

谢谢

我有一个 Splunk 服务器，其中包含 650k 个事件的索引数据。我想将整个数据从一个实例迁移到另一个新实例。我尝试使用带有数据字段 -27D@d 的迁移脚本，但我只能迁移 50k 数据。-27D@d 是初始数据可用的点。你能帮帮我吗？这是代码：

我们如何将 Python 应用程序日志推送到 Splunk。先决条件是什么。在发送到 Splunk 之前，我们是否应该先转换出结构化格式（基于键值）的日志？

有一个包 splunk_handler 用于将日志推送到 splunk，但我找不到任何带有实际工作示例的文档。我只有这个包的 gitbub 页面，但没有任何实际实现。

请帮忙

如果我们通过访问令牌访问它，那么从 Splunk 获取保存的搜索数据的正确 HTTP 获取请求调用语法是什么？

我的 curl 命令有效，但 http.get 无效。

卷曲命令：

请求调用 ::::

这给出了 400 个错误。

我正在尝试编写一个返回多个条目的模块化输入。

在我的运行功能中类似于

我希望看到像这样的输出

但相反，我看到

有没有办法从一个模块化输入脚本的一次运行中提交多个事件？

所以它们会在 Splunk UI 中单独显示？EventWriter 在这里似乎没有帮助

我正在尝试从 Splunk 获取 10 个事件。但是UI返回结果不到1秒需要40多分钟

这可能是什么原因？它也可能因超时异常而失败

此代码来自 Splunk java sdk GitHub 页面。由于 NDA，令牌、主机等从真实变为存根。