问题标签 [splunk]

我正在尝试使用 splunk 分析日志，我需要解析如下所示的行：

我有这个匹配的正则表达式：

这部分 ：

使用组我可以提取我需要的真实信息，即：

唯一的问题是我不需要括号，我已经尝试过一些负面的前瞻/后视谷歌搜索，不太了解正则表达式。

所以我的最终目标是捕获b50f3a81-f9e0-4ebf-b9e2-b007c8dd4cbf. 谢谢

我正在尝试创建一个正则表达式，它将解析 Windows 日志事件中句子的一部分。

例如，EventCode=7035 生成以下内容：

我想解析的是，只是“The”和“service”之间的信息，以及工作的开始或停止。

这样我就可以建立一个已经启动或停止的服务列表。

对此有什么想法？

我们有一个在 Google App Engine 上运行的 Java 应用程序，目前我正在研究一种将请求日志发送到日志服务器（在我们的例子中是 splunkstorm.com）的方法。

我们对 GAE 为每个请求自动生成的日志感兴趣，例如：

我读到 Splunk 支持 syslog、rsyslog、syslog-ng、snare、netcat 和 REST API。

我的想法是让 java.util.logging 像syslog一样发送日志，但没有找到任何相关信息。另一种是使用 SLF4J 并使用 3rd-party jar 发送日志，但我不确定是否会发送 GAE 自动生成的请求日志。

我们有什么选择？有人遇到过这个问题吗？

2012-06-21 23:59:33,902 [G4L11] 调试 - 审核|2012-06-21|23:59:33|4|11|IPM961|PSA Corpo|45|6900|644133||N|N|| |||||||||PCIU 4537852|PCIU 4537852||5||||||||| 是|A|CL$TCS|Y|682|

我必须创建一个饼图来显示 YES 和 NO 的计数值。首先，我尝试通过 IFX 选项为 autocontirm YES 提取字段，但我得到的结果不正确。示例：总共有 2320 行（2054 为 YES，266 为 NO）但提取后，YES 计数为 2054（正确）但 NO 计数仅为 21。如何正确提取？请帮帮我，非常感谢！！

我们试图填充的主要功能之一是记录/可视化来自用户的应用程序 UI 事件。

目前，我们将 iPhone 应用程序上的事件记录到自定义构建的“后端”，我们可以在其中看到每个用户所做的事情，即 start_activity、add_option、take_photo 等，就像他们所做的一样。对于我们正在构建的 google appengine 应用程序，我们需要相同的客户端和服务器端事件。

我想知道 splunk 是否可以用于此，或者我们是否应该首先使用另一个工具（例如使用 nagios 进行基础设施的东西然后转发）？否则我们应该只使用 Mixpanel 或其他应用程序来记录事件吗？还是我们可以直接注入 splunk 并以此为基础？

每次我在本地启动 rails 时，在哪里放置一行需要执行的 bash 代码的约定是什么？我正在创建一个隧道 ( ssh -gL8089:splunk-server:8089 myserver)，以便我可以在本地提取 splunk 结果。

I'm using splunk-client to extract results from splunk. Here's the code:

The search is happening fine, and it seems like I'm doing everything according to the example (https://github.com/cbrito/splunk-client), but I get this error on the 'search.wait' line:

Any ideas what could be going wrong? Running these commands in irb works fine. Is there some sort of blocking issue?

我正在尝试匹配此提取的 SNMP 数据包中的主机名

SUP-V5-ISA-1 是主机名，在这种情况下它通常不是 FQDN（这取决于它来自的系统）

我正在尝试将其输入 splunk，但我一生都无法弄清楚如何选择第三个单词，而不是将连字符视为单词边界。我每次都能选择第三个“单词”，即“27”和 SUP，但从来没有抓住整个“单词”

它始终跟在时间戳之后，并且始终跟在方括号中的 IP 后面，但通常不包含那么多连字符。

我正在尝试使用 Sideview 的动态 HTML 功能将搜索结果注入我的自定义 HTML。问题是，每当我将“搜索”模块放入仪表板时，页面就会挂起，并在页面的右上角显示“正在加载...”。即使使用空的搜索模块也会发生这种情况。例如，这是我要创建的页面。

XML:

last_commands _table.html：

呈现 HTML 模板，但未执行搜索。顶部只有“正在加载...”消息，没有其他任何事情发生。

我找到了大量关于如何在 Node.js 中执行 Splunk 搜索的文档（主要感谢 Splunk javascript SDK 文档）。

然而，这不是我想要完成的。我希望使用 Splunk 作为由 node.js 驱动的站点的日志记录/监控/分析解决方案。我需要能够记录不同类型的事件（登录错误、页面请求/响应等），以便 Splunk 索引并使其可用。

如何实现？它是我忽略的 SDK（或 API 本身）的一部分吗？

感谢您的任何见解。