问题标签 [splunk]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
splunk - 通过匹配日志中的部分字符串获取唯一计数
我想知道有多少用户是蓝色的,有多少是所有唯一用户的红色?
在上面的日志中,我必须获取所有不同的用户,然后对于每个用户,我需要获取他们的会话 ID,并且他们在包含 DEBUG 的行中匹配它并检查 redColor=true 与否。
因此,在上述情况下,输出应为:
红色的用户数 = 1(注:237D3B5A5F198F81A405858E6A5AA09F 不匹配任何内容,因此即使它的红色标志为真也不计算在内)蓝色的用户数 = 2
这在 splunk 中可能吗?
regex - 使用正则表达式提取命令
我需要提取命令,无论我们在下一行 CMD 后面的 ( ) 中看到什么。
我需要为此使用正则表达式,因为 splunk 只理解这一点。
splunk - 从文本文件中搜索一行
我有一个带分号的文件;分隔的文本文件。它已在 splunk 中编入索引。
当我搜索“pqr”时,它应该只显示 1 行。它目前也显示下一行“mnp”。文件中没有时间戳,splunk 仍然按日期时间对行进行分组。例如,上面提到的所有行在 06/09/2011 19:01:17.000 下列为一个组
从分号分隔的文件中搜索时,如何只返回一行?
tcp - Splunk:TCP 端口数据输入未出现在搜索数据源中
所以问题归结为——
- 使用 nc将 my 的输出重定向
$ python script.py到 TCP 端口。 - 捕获远程监听端口的数据。
- 现在,当我使用 nc 远程监听此端口号的流时,数据被正确重定向。
- 当我添加到数据输入以侦听 Splunk 中的端口时,我没有得到任何数据(没有来自龙卷风的系统日志或日志)。
- 此外,当我在 Splunk 中点击搜索选项卡时,数据源中没有添加任何内容(全可视)。
- 当我使用一个文件并使用 nc 将端口输出重定向到该文件,然后将该文件用作 Splunk 的源时,它可以完美运行。
现在根据第 6 点,我可以通过将日志冗余存储在临时文件和不需要的 Splunk 中来获得结果。根据第 4 点,当 Splunk 监听我的 TCP 端口时,我的数据没有直接显示。
请帮忙。
splunk - 摘要索引“psrsvd”字段代表什么?
Splunk 中的摘要索引会产生大量 psrsvd_* 字段。他们代表什么?我认为它们是首字母缩写词或缩写词。以下是平均每个客户端 IP 返回的字节数时的一些示例,由 apache (ie sistats avg(bytes) by clientip) 记录:
- psrsvd_ct_bytes
- psrsvd_gc
- psrsvd_nc_bytes
- psrsvd_sm_bytes
- psrsvd_ss_bytes
- psrsvd_v
- psrsvd_vt_bytes
logging - 如何在 splunk 中将日志配置为来自远程 unix 服务器的数据源
如何使用驻留在远程 unix 服务器上的日志文件配置 splunk。
通常我登录腻子到一个linux服务器,从那里我ssh到另一个公司服务器,在那里我浏览目录并执行我的操作,主要是cat,zcat等,使用grep过滤器。前任:
- 1) 从 putty 登录到 example_server
- 2) ssh 到 ssh_server
- 3)cd 到 req 目录
- 4)执行猫等,
顺便说一句,ssh_server 不允许直接从 putty 登录,我必须先登录到 example_server,然后再登录到 ssh_server。
现在我如何配置这些日志文件以供 splunk 使用,以在我使用 grep 时搜索字符串。我已经在我的笔记本电脑上安装了 splunk,通过单击添加数据>文件和目录>添加新它显示您的数据字段的完整路径,我应该用什么路径填充它?
windows - splunk解析IIS日志文件
我正在使用 Splunk 解析来自几台服务器的 IIS 日志文件,所有服务器都在 IIS 中设置了相同的字段,并且所有服务器都运行相同版本的 windows 2003 服务器。然而 splunk 将这些日志文件的源类型标记为“iis”或“iis-2”或“iis-3”......即使来自同一服务器。我似乎无法找到模式。如何确保 splunk 标记所有日志文件的类型相同?
另一个问题是,对于某些日志文件,splunk 会自动提取查询字符串字段中的所有键/值,而对于某些日志文件则不会...我希望 splunk 在索引时解析出查询字符串键/值因此在搜索期间会很快。
有人帮忙吗?
谢谢
splunk - Splunk:提取具有相同名称的多个字段
我正在使用 Splunk 来索引具有多个同名字段的日志。所有字段含义相同:2012-02-22 13:10:00,ip=127.0.0.1,to=email1@example.com,to=email2@example.com
在此事件的自动提取中,我只为“to”字段提取了“email1@example.com”。如何确保提取所有值?
谢谢!
regex - 用于 DNS 的 Splunk (perl) 正则表达式
我试图创建一个正则表达式来为 splunk 中的 DNS 查询提取 CNAME。我可以获得第一个 DNS 名称(“CNAME 记录”之后和之前(“=”)的所有内容,但我找不到表达式来获取等号之后的下一个 DNS 名称。
ruby-on-rails - Splunk:在字段转换中引用字段转换
我正在使用Splunk通过 TCP接收我的Heroku 日志。Heroku 像这样格式化这些日志:
对于 nginx 进程,日志如下所示:
我想使用 Splunk 的默认访问提取字段转换来处理这些日志。我查看了一些引用其他转换的其他内置转换,并尝试将其作为我的新转换的正则表达式:
但是,当我单击“保存”时,我得到:
尝试保存时遇到以下错误: In handler 'transforms-extract': Regex: range out of order in character class
从字段转换中引用其他字段转换的语法是什么?这是做我想做的最好的方法吗?