问题标签 [splunk]

我想在 splunk 中使用查询，提取字段列表，然后使用这些结果字段进一步过滤我后续的 splunk 查询。我该怎么做呢？

我对 syslog fifo 和日志文件有一些疑问。

例如，我有我的 gc.log，我在 syslog 上有这个配置

在 splunk 上索引这个 gc.log。但是这样我得到了很高的 cpu 消耗，我喜欢改变我索引这个日志文件的方式。

我想通过 fifo 文件进行索引，但我无法更改应用程序生成此日志文件的方式。

我怎样才能做到这一点 ？

Papertrail 是同类服务中唯一允许您通过 webhook 对记录的事件做出反应的服务吗？

我正在寻找一个托管的日志记录解决方案，例如 Splunk Storm 或 Papertrail。

我对 splunk 还很陌生。我们有三个 hbase 集群，所有这些集群都有多个 zookeeper 节点和区域服务器，就像我在下面提到的那样。

集群 1

集群 2

集群 3

我正在尝试过滤以特定集群为中心的日志。所以我使用生成器来创建像这样的过滤语句host="test101.blah.com" or host=test102.blah.com"..or host="test199.blah.com"，并为其他集群构建相同的查询。

我知道它效率低下。有没有一种有效的方法通过正则表达式或通过 splunk 的模式匹配来做到这一点？

我尝试用谷歌搜索，但没有任何运气，我也尝试搜索官方邮件列表，但也没有任何信息。

是否可以将 Splunk Universal Forwarder 安装到 OpenShift 平台？

我想收集指定文本之前或以它结尾的所有数据，我尝试了以下方法：

但是您必须在指定的结束文本之前指定要收集多少个字符，我只想收集所有字符（请注意，我在这里处理 Python/Perl 正则表达式）

我是 splunk 的新手，在比较两个不同查询的两列中的值时遇到了问题。

查询 1

查询 2

这是我的两个不同的查询。我想将A_from列中的每个值与列中的每个值进行比较B_from，如果值匹配，则显示A_from.

可能吗？

我已经分别运行了这两个查询，并将每个查询的结果导出到 csv 和使用的vlookup函数中。但问题是最多可以导出 10000 行数据，所以我错过了很多数据，因为我的数据搜索有超过 10000 条记录。有什么帮助吗？

我们有来自 Windows azure WADLogs 的数据，我导出逗号分隔并最终看起来像这样：

"0635010205200000000","d921c47290f944a69c3394373b5c5988___Pricing.Api___Pricing.Api_IN_0___0000000001652031516___WADLogsLocalQuery",2013-04-08T12:24:04.8000293Z,635010205409475113,"deploymentid","Role","Role_IN_0",5,2,608,3232,"TimeTaken::16043 ms to perform Action::'some action'; TraceSource 'PricingApiTrace' event"

我想提取值为 16043 的名为 TimeTaken 的字段和值为“某些操作”的 Action。

我可以更改以“TimeTaken”开头的位的格式，如果这会使事情变得更容易，并且希望在阅读 :: 自动创建的字段后，使用上述格式将允许索引自动创建字段，但似乎事实并非如此。

任何指针？

Can Cordys Operations Intelligence (COI) be an alternative to Splunk?

I have not used COI, however looking at the videos and documents it seems very similar to what Splunk can do in terms of providing Operations Intelligence from real time big data.

我在我的 spunk 4.2.2 安装中安装了最新的 sideview utils 应用程序并立即遇到了问题。每次我尝试启动侧视图编辑器时，它都会引发 404 错误。

任何指针都会有所帮助