问题标签 [splunk]

我有一个应用程序日志，其时间戳为 01-24（而不是 00-23），我正在尝试进行搜索并将“24”替换为“00”，例如

应该返回

到目前为止我有

([0-9+]+).([0-9]+).([0-9\.$]+) ([0-9]+):([0-9]+):([0-9]+)

我试图弄清楚为什么有人想在 Splunk 中创建仪表板。视图允许您添加表单以及任何图表和搜索，而仪表板则不允许。那么，我为什么要制作仪表板？一个比另一个有什么优势吗？

我已经在某处设置了Ldap 服务器。我可以绑定到它，可以添加、修改、删除数据库中的条目。现在，当涉及到身份验证时，它不是像将用户名和密码提供给服务器一样简单，要求它搜索与两者匹配的条目吗？此外，它不是包含用户密码的“ userPassword ”字段吗？

现在，我尝试设置splunk以从我的 Ldap 服务器进行身份验证，我提供了用户名和密码，但它未能通过身份验证。不是splunk 检查的“ userPassword ”字段吗？可能的原因应该是什么？

我正在尝试编写一个 splunk 查询，该查询基本上提取分隔符“，”之间的字段并将值放入变量中。

我想提取两个逗号之间的所有内容。

现在，没有一个选项可以不提供任何正则表达式而只获取, ,.

我能想到的最接近的是,.*, ..但是.*会变得贪婪并匹配其他所有内容。

遇到a 后，是否可以使用正则表达式来停止通配符匹配,？

我试过了

这没有用。

我们拥有庞大的扩展用户网络，我们使用徽章进行跟踪。每月的总流量约为 6000 万次展示。我们目前正在考虑从一个相当慢的、基于数据库的日志记录解决方案（基于 PHP 定制构建——混乱......）切换到一个依赖于 Amazon S3 日志和 Splunk 的简单的基于日志的替代方案。

在将 Splunk 用于其他一些分析任务之后，我真的很喜欢它。但目前尚不清楚如何在系统中设置像 S3 这样的源。似乎远程源需要安装通用转发器，这不是一个选项。

对此有什么想法吗？

我正在做一个需要匹配输出中的某些字符串的项目..

这里是样本：

基本上我有一个应用程序需要了解空格后的每一行都属于下一列。然后，在动作名称之后，一切都可以视为其他。因此，我提出了如下的正则表达式格式：

策略是识别字符串然后忽略之后的空格。但是，这件事在动作名称之前有效，因为它们可能是动作名称之间的空格。因此，我的问题是，如何使用正则表达式让它识别操作名称中的字符串，就像我需要“插入用户”作为输入和“更改密码 RSO 部分”作为另一个输入。

我正在尝试使用通用转发器将我的 Activemq 日志推送到远程系统 Splunk Indexer，但它不起作用。在我的本地系统上，我看到如下日志：

2012 年 6 月 13 日 20:29:38.841 +0530 WARN DeploymentClient - 无法向部署服务器发送握手消息。错误状态为：not_connected 06-13-2012 20:29:40.741 +0530 WARN TcpOutputProc - 到 ip=ip.address:9997 的原始连接超时

本地系统操作系统 - Windows-7 远程系统操作系统 - Windows NT 2003

谁能帮我解决这个问题。

谢谢

我已经按照下面的配置配置了一个 Apache 服务器来为我们的 Splunk 安装提供 SSO 和反向代理。SSO 的工作方式与将运行在端口 8000 上的 Splunk 实例隐藏在 /splunk URL 后面的反向代理一样工作。

问题出在 Apache 日志中，我收到很多以下错误消息。

我不确定这个问题是否与 Splunk 有关。有没有其他人看到这个，我该如何解决这个问题？

我有一个脚本，如果我在命令提示符下手动调用它，我可以完美地运行它。

当我将此脚本另存为<filename>.bat并双击时，它总是提示我一条错误消息：“程序文件未被识别为内部或外部命令”。

是因为环境变量设置问题吗？以前有没有人遇到过这样的事情，或者我的代码有问题？

我有看起来像这样的日志：

2012 年 6 月 19 日上午 7:15:59 org.apache.catalina.core.StandardEngine 开始

信息：启动 Servlet 引擎：Apache Tomcat/6.0.29

时间戳不遵循 ISO 8601。有什么方法可以根据上述格式实现隔离？现在它正在随机合并多条线路。