Описание тега splunk-query
0
ответов
Как объединить две строки в одно поле в Splunk?
(<firstSearch msg=* error=*) OR (secondSearch msg=* ErrorCode=*)) | stats msg, error, ErrorCode не возвращает никакого значения, потому что первый поиск не содержит ErrorCode и второй поиск не содержит error, Пожалуйста, обратите внимание: оба er…
04 дек '17 в 09:14
1
ответ
Splunk subsearch для вывода регулярных выражений
Я хочу один поисковый запрос для нижеуказанного запроса. Первый поиск даст мне динамическое поле myorderid index = mylog "trigger.rule: Id - *: непредвиденная системная ошибка" | rex field=_raw "Id -""(?[^:]*)" | таблица myorderid Я хочу передать вы…
23 ноя '18 в 11:55
0
ответов
Как использовать макросы в запросах Splunk с NiFi?
У меня есть процессор GetSplunk 1.4.0 в NiFi и я хочу выполнить поисковый запрос: search sourcetype=access_* | `makesessions` Это вызывает следующую ошибку: Ошибка в 'SearchParser': при поиске указывается макрос 'makesessions', который не может быть…
24 май '18 в 09:52
0
ответов
Групповые события по взаимодействию для анализа в Splunk
У меня есть ряд событий JSON различной формы, проиндексированных в Splunk (как JSON). У них есть идентификатор корреляции, чтобы связать события в "взаимодействия". Пример набора данных: { "correlationId": 1, "type": "start", "qty": 10, "product": "…
24 май '18 в 07:58
1
ответ
Splunk поисковый запрос с предложением where не работает
Я использую Splunk Java SDK для поиска шаблонов с сервера Splunk. Я использую шаблон search index=* env=* (GET OR POST OR PUT OR DELETE) | where isNum(httpStatusCode) когда я использую этот запрос с Java SDK, Splunk не отправляет никакого события. Н…
31 янв '19 в 10:32
1
ответ
Извлечь значения из поля
Мне нужно извлечь все значение из поля Я пробовал разные шаблоны Regex, и это не сработало, и мне было интересно, есть ли простой способ сделать это. Вот пример Splunk Event HelloSample=My tool is too picky and has a hard time Вот мой спленк запрос …
07 фев '19 в 06:53
0
ответов
Как сравнить два или более значения поля
У меня есть такие данные: событие 1: field_name=field_value, status="process", status_file="file_name" событие 2: field_name=field_value, status="отправить", status_file = "file_name" событие 3: field_name=field_value, Transfer_status = "Передано", …
30 янв '18 в 20:05
3
ответа
Regex, чтобы удалить все после -i- (с -i-)
Я пытался найти решение для моей проблемы. Input: prd-abcd-efgh-i-0dflnk55f5d45df Output: prd-abcd-efgh Tried Splunk Query : index=aws-* (host=prd-abcd-efgh*) | rex field=host "^(?<host>[^.]+)"| dedup host | stats count by host,methodPath Я хо…
01 ноя '18 в 22:33
1
ответ
Получите количество вышеупомянутых случаев на почасовой основе, используя ответный запрос.
Когда я получаю файл, у меня есть следующий журнал. 2017-05-20T06: 43: 18,273 + 0000 LogLevel = "INFO" ThreadId = "[ACTIVE] ExecuteThread: '1' для очереди: 'weblogic.kernel.Default (автоматическая настройка)'"ServerName="ServerName" RequestId="12345…
21 июл '17 в 09:31
2
ответа
Splunk - интеграция эластичного поиска
У нас есть требование для отображения данных эластичного поиска в интерфейсном интерфейсе Spunk. Существует ли способ запрашивать эластичный поиск в графическом интерфейсе Spunk и получать результаты в графическом интерфейсе Spunk?
09 ноя '17 в 09:45
1
ответ
Как мы можем связать Splunk с BMC ITAM
Есть ли какие-либо варианты, позволяющие связать BMC ITAM со Splunk для создания предупреждений и панелей мониторинга для мониторинга инцидентов?
25 дек '18 в 10:35
1
ответ
Splunk-запрос для фильтрации результатов в журнале IIS для определения значений CRYPT_Protocol менее 400
Я пытаюсь найти выражение регулярного выражения, чтобы помочь отфильтровать нежелательные результаты из загруженных журналов IIS, чтобы при отображении ответа CRYPT_PROTOCOL меньше 400.
06 фев '19 в 19:18
0
ответов
Поиск топ-N самых дорогих экземпляров ec2 по всем аккаунтам через splunk
Как найти N самых дорогих экземпляров ec2 во всех учетных записях AWS через Splunk. Вот что у меня так далеко: index = index_name sourcetype = source_typ_name | stats count by
19 фев '19 в 00:22
3
ответа
Запрос Splunk, чтобы найти больше, чем
У меня есть журнал регистрации спленка: "TOTAL NUMBER OF RECORDS IS:0" Мне нужно запросить его таким образом, чтобы он нашел сообщение журнала, если число записей оказывается больше 0 Я пробовал следующее sourcetype=mylogs | rex "\d+:\d+:\d+\s(?<…
27 фев '19 в 00:54
1
ответ
Как сделать панель инструментов и запрос в спленке
Я новичок в спленке и имею только базовые знания в запросах. Мне нужно создать панель мониторинга, которая будет подсчитывать общее количество политик для каждого сервера. У меня есть пример данных, он показывает другой хост и политику. Пример данны…
01 мар '19 в 15:21
1
ответ
В Spunk, как создать таблицу Private Lookup для человека?
Как я работаю над проектом сетевой безопасности. Мне нужно создать личную таблицу поиска для отдельных пользователей, чтобы любой другой пользователь не видел содержимое таблицы поиска других пользователей. Я создал таблицу поиска по: curl -k -u use…
16 апр '17 в 17:51
1
ответ
Добавить рассчитанную пороговую линию на временной диаграмме
У меня есть простой график, который показывает 5 нижних серверов по количеству запросов в минуту. Я рассчитываю добавить расчетную пороговую оверлейную линию, которая представляет собой среднее количество запросов на всех серверах минус одно стандар…
06 фев '19 в 21:12
2
ответа
Ответный запрос занимает много времени, чтобы вернуть значение, можем ли мы удалить
Первоначально я использовал inputlook, чтобы получить выходные данные, а запрос возвращал выходные данные в долях секунды, но теперь я хочу использовать источник в качестве входных данных и выполнить запрос Splunk, но для возврата результата требует…
03 дек '18 в 10:56
1
ответ
Как я могу сломать два журнала Splunk в одном ряду?
Я пытаюсь разбить два журнала, которые записаны в одной строке, из-за чего следующий журнал не публикуется в результате при извлечении, пока он отображается в журнале событий. 02:09:50.296 64785434 [http-bio-8085-exec-156] INFO c.i.p.w.r.s.Adjustmen…
15 май '18 в 09:31
1
ответ
Splunk логирование с транзакцией
1) Я хочу подсчитать количество вхождений URL-адреса HTTP с p(95) временем отклика для вызова URL: https://example.net/v1/abc/xyz с кодом ответа 200 или 500 2) Ответ время - это разница метки времени ч / б, строки 6 и 3. 3) И вызов URL, и код статус…
10 ноя '17 в 09:05