问题标签 [splunk]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
java - rest api 可以允许不安装 splunk 转发器吗?
我有一个任务:调查不安装通用转发器而只使用 java 的可能性。REST API (java sdk) 允许这样做吗?
log4j - 配置 log4j 将其日志发送到 Splunk?
我需要将我的 log4j 日志发送到 Splunk。我找到了几个解决方案:
- 使用 REST API(例如
curl -k -u admin:changeme -d "name=/tmp/myfile.log" -d "sourcetype=syslog" https://localhost:8089/servicesNS/admin/search/data/inputs/monitor) - 安装 Splunk 通用转发器
使用 log4j appender,例如:
系统日志附加器
log4j.appender.splunk=org.apache.log4j.net.SyslogAppender log4j.appender.splunk.SyslogHost=localhost:8089 log4j.appender.splunk.layout=org.apache.log4j.PatternLayout log4j.appender.splunk.facility=LOCAL2 log4j.appender.splunk.layout.ConversionPattern=[%p] %t: %m%n
但在我看来,如果 splunk 服务器和日志位于不同的机器上,第三种解决方案将不起作用。
第二种解决方案需要安装其他软件
任何人都可以提出任何其他解决方案吗?
PS 我尝试使用开源 java 库。但它没有给出结果。
search - Splunk - 搜索功能有多强大?
我是 splunk 的新手。只用了 3 天。我一直在使用 Lucene 以字段和未字段数据的形式对原始数据进行索引和搜索。lucenes 的搜索性能给我留下了深刻的印象。我想知道体验社区是否可以在这里指导我了解 splunk 的一些功能。具体而言,将 splunk 与我对 Lucene 的了解进行比较。不仅限于搜索。
splunk 如何处理停用词?非常常见的单词 a,the,is... 我们可以手动提供给 lucene。
splunk 是否执行通配符搜索、邻近搜索、正则表达式搜索?我知道它可以进行实地搜索。
索引的优化。特别压缩。
是否可以在 splunk 上进行基于同义词的模糊搜索?
我知道这一定是一个冗长的问题,但肯定想从有经验的人那里了解一些关于 splunk 的观点,并希望不要偏离 SO 的规则。
谢谢你。
type-conversion - Splunk 在当前毫秒内将提取的字段转换为 HH:MM:SS
谁能为我提供一种让 Splunk 将当前以毫秒为单位的提取字段转换为 HH:MM:SS 的方法?
splunk - splunk 为每位主持人提供最新活动
我正在尝试获取每个主机的最新事件时间戳,谷歌搜索如下:
|元数据类型=主机 | 表主机,上次
似乎有效,返回了主机和时间戳,但是,时间戳是一个大整数,我如何转换为本地时间?
另外我如何过滤它以便它只返回某些主机?
谢谢。
events - Setting the field values to be returned to Splunk server using java
I am using java rest api sdk to retrieve events from the Splunk's search app. I retrieved the field called splunk_server during search time and i set the value for it. Then i tried to format the log message in a key=value pair pattern. eg. splunk_server=remoteserver. I wanted the value for the splunk_server that i set to appear for the new event added to splunk. But the default value appeared instead.
Is there any way to set the value for the splunk_server and show the value i set in Splunk server whenever i add new events?
splunk - 如何有条件地创建 splunk 字段别名?
我正在尝试将来自两个不同日志的信息组合到一个查询中,但我不确定如何或是否可以做到这一点。基本上我想这样做:
我要做的是收集所有版本 == 10 的用户的速度统计数据。
根据我的阅读,如果我创建 userId == fooid 的别名,可以这样说:
但是,我仍然有一个问题,即并非所有 userId 都是 foid。所以我希望能够在日志 1 中创建一个 fooid 字段别名,但前提是 client=foo。这可能吗,如果可以,我该怎么做?
此外,如果有其他方法可以执行此搜索,我们将不胜感激。
rest - 哪个 Logback Appender 用于通过 REST 接收器端点向 splunk 发送新事件?
如果我正在使用 logback 框架,如果我想使用 Splunk 的 REST 接收器端点创建新事件,我应该使用哪个 Logback appender。我想为此制作一个自定义的基本附加程序?它是套接字附加器吗?
splunk - 如何更改 splunk 时间表报告中的时间跨度?
我正在 splunk 中构建一个视图,并希望显示一个时间表。但是,我只想显示过去 24 小时的数据,而不是 splunk 默认的上周数据。我该怎么做呢?
当我只是进行搜索时,我可以在页面顶部选择时间跨度,但在创建仪表板图表时不可用。
shell - pexpect - 通过 ssh 运行 script.sh
我在通过 ssh 以编程方式运行本地脚本时遇到问题。
我不确定这是否是本地主机上的 shell 变量替换的问题。
手动运行时,
我得到了预期的输出,
CPU pctUser pctNice pctSystem pctIowait pctIdle
全部 11.21 0.00 1.50 0.31 86.98
0 0.00 0.00 0.00 0.00 100.00
1 3.00 0.00 1.00 0.00 96.00 ....
但我明白了
bash:/u02/splunk/splunk/etc/apps/Splunk_TA_nix/bin/cpu.sh:没有这样的文件或目录
运行以下代码时,
这些是打印输出,
/usr/bin/ssh monit@server1 'bash -s' < /u02/splunk/splunk/etc/apps/Splunk_TA_nix/bin/cpu.sh
初始 pexpect 命令输出:1
bash: /u02/splunk/splunk/etc/ apps/Splunk_TA_nix/bin/cpu.sh:没有这样的文件或目录
pexpect 撞到了 [pP] 密码行,所以我猜密码被正确传递了,