问题标签 [splunk]

我在过滤/忽略索引器上的 splunk 中的某些事件时遇到了一些问题。

我在 ubuntu 12.04 上运行一个 splunk 4.3.3 索引器，它运行良好，可以接收来自远程 syslog 主机和运行 splunkforwarder-4.3.3-128297-x86-release 的 Windows 主机的输入

问题是，我想过滤掉一些事件。按照这里的文档...

从通用转发器过滤索引器上的窗口事件 http://splunk-base.splunk.com/answers/24310/filter-windows-events-on-indexer-from-a-universal-forwarder

我可以成功过滤掉安全事件，但无论出于何种原因，系统事件 10060 仍在通过

据我了解，我做的事情是正确的，所以我一定遗漏了一些东西。如果有人有任何建议，我将非常感激。

-麦克风

有人对更好地登录 Google App Engine 有什么建议吗？我目前正在尝试使用 Splunk Storm，但他们对输入很挑剔并且经常失败。有没有其他人遇到过这个问题并以某种身份解决了这个问题？

目前，我有一个在后端运行的进程，该进程从 LogService 读取并通过 REST api 将日志传输到 Splunk Storm。这通常会失败，或者风暴停止，或者后端 IP 更改。

我的问题是 App Engine 中提供的日志记录，因为在推送新版本时日志会消失，并且使用提供的仪表板查询日志几乎无法使用。Splunk 是一个潜在的解决方案，但云解决方案还有很多不足之处。

任何可以为我的日志提供更好接口的东西都将不胜感激。

我在 splunk 中使用 rex 从包含金额加上 3 位货币代码的字段中提取十进制金额。两个值由空格分隔。

例子：

我正在使用 rex 命令内联：

使用这个命令大部分是成功的，但是我的错误是在 1.00 INR 上起作用的。

结果：

任何想法都会有所帮助。完全免责声明：我不是一个完整的程序员，我也不渴望成为，但我确实喜欢在 Splunk 上编写正则表达式。

我们正在使用 Splunk（一种分析机器数据（如日志文件）的工具）并在 PHP 中有一个应用程序。对于某些数据，我们需要在 php（基于 CLI）中调用我们的应用程序。不幸的是，Splunk 只支持 Python 调用。
有没有一种简单的方法可以使用相同的参数对 1:1“转发/调用”php 并返回输出，如“passthru”。我只找到了所谓的子进程模块的部分解决方案，但我的 python 经验为零，所以无法让它工作。

例如，splunk 调用：
python external_lookup.py argument1 argument2 argument3
- 然后 python 脚本应该调用（使用给 python 的 CLI 参数）：
php external_lookup.php argument1 argument2 argument3
- 然后 php 写入它的输出
- Python 捕获该输出并自己输出

非常感谢任何帮助，或者更好的工作示例脚本。

在此先感谢，
文斯

我刚刚开始使用 JMeter 在我们的生产环境中执行一些简单的合成事务，并且我添加了一些侦听器来将测试运行的摘要捕获到 XML 文件中。我现在正在考虑将这些数据导入 Splunk，以便为团队的其他成员提供报告，并且正在寻找最好的方法来做到这一点。

我最初是通过在 Splunk 中对 JMeter 生成的 XML 文件进行索引来完成的，这很有效，并且允许我们生成所需的报告。但是，鉴于此测试计划最终将每分钟执行两次，超过 20 多个框，我希望理想地跳过 XML 文件（它的潜在大小！）并直接将数据导入 Splunk。

有什么替代方案呢？

我想知道 Graphite 是否可以从 Splunk 中提取日志数据来绘制图形。我知道 Graphite 可以从 Nagios 读取数据，但想知道它是否也可以从 Splunk 中提取数据。

考虑以下两个 Splunk 搜索：

和：

值得注意的是，后者的搜索 - 其子搜索具有约束的搜索 - 的结果行数是前者的三倍。

该命令的Splunk 文档页面join建议语义足够接近 SQL 的参数join：

如果指定的字段对每个搜索和子搜索的结果是共同的，则连接用于组合搜索和子搜索的结果。您还可以使用 selfjoin 命令将表连接到自身。

此片段与type=inner论点相关：

如果指定的字段对每个搜索和子搜索的结果是共同的，则连接用于组合搜索和子搜索的结果。您还可以使用 selfjoin 命令将表连接到自身。

基于此信息，我假设上面的两个 Splunk 搜索应该分别等效于以下 SQL：

和：

添加约束如何增加结果行数？

有趣的是，下面的 Splunk 搜索产生了第三个结果 - 与我将相同数据放入 SQL 数据库时得到的结果相匹配：

还有一些注意事项：

• 该MyVal字段在任何一个表/索引中都没有重复项
• 我已验证 Splunk 索引中的原始事件与事件计数和值中的原始源数据相匹配MyVal
• 为相关源类型配置的唯一搜索时间操作props.conf是report根据 in 中的节提取字段transforms.conf（源数据采用 CSV 方言）

谁能在这里给我一些线索？就我而言，这种行为是荒谬的。

我对 Splunk 比较陌生，正在创建一个新视图来显示过去 5 分钟内某些事件的平均时间。我创建了一个宏搜索来执行搜索，该搜索需要两个参数（交易名称和搜索持续时间），所以在我的第一个面板中，这是 EVENT_*_LOGIN 和 -5m。该视图当前显示每个不同事件名称的简单结果表。

我想做的是，当用户单击特定行时，它将向下钻取到过去 4 小时内该事务的所有事件的时间线视图。有没有办法指定单击或向下钻取显示的信息？

抱歉，如果这含糊不清，如果有更多信息，请给我发消息。需要。

提前致谢

我创建了一个仪表板，其中包含一个汇总表，我希望对其进行深入研究，以深入显示与该汇总记录相关的事件的第二个表。

我有向下钻取工作并显示所需的行，但是它显示的是该事件的所有字段，而不是我设置的特定字段。如果我通过搜索应用程序自行运行搜索查询，或者在仪表板上单独运行搜索查询，它会显示相应的字段。

这是宏搜索代码

这是仪表板的 XML：

提前致谢

我有一个将单个事件发送到 Splunk 的脚本，每个事件本质上都是关于 HTTP 请求（GET 或 POST）的报告。该事件包含许多字段，但两个关键字段是 StepName 和 Timing：

1. StepName 将是 HTTPRequest 等的标题。 PostLogin
2. Timing 将是 HttpRequest 所用毫秒的 int 值

我正在写一份报告，显示过去 15 分钟内每个步骤的平均时间。但是，从最终用户的角度来看，某些步骤是一个过程的一部分，例如

1. 第 1 步 - 获取登录页面
2. Step2 - PostLoginPage
3. Step3 - ProcessUserDetails
4. Step4 - 获取主页

在这种情况下，Step2 和 Step3 将是最终用户的一个过程，因此我希望能够报告这些，就好像它们是一个步骤一样，因此如下：

GetLoginPage 50
PostLoginPage 100
ProcessUserDetails 250
GetHomePage 80

会成为

GetLoginPage 50
PostLoginPage 350
GetHomePage 80

我可以在 StepName 上使用替换，所以我有

GetLoginPage 50
PostLoginPage 100
PostLoginPage 250
GetHomePage 80

然后如何合并这些结果，以便将两个 PostLoginPage 步骤相加，然后为我提供三个单独步骤在一段时间内的平均值？

请注意，每个步骤都有一个名为 TransactionGUID 的字段，它将一组步骤关联起来以进行相同的执行。