在Splunk中搜索具有动态值的字符串
,可以使用Splunk的查询语言和正则表达式来实现。
首先,Splunk是一种用于实时监控、搜索、分析和可视化大规模机器生成的数据的平台。它可以处理各种类型的数据,包括结构化数据、非结构化数据和日志数据。Splunk提供了强大的搜索和查询功能,可以帮助用户快速定位和分析数据中的关键信息。
对于搜索具有动态值的字符串,可以使用Splunk的查询语言来实现。查询语言可以使用关键字、运算符和函数来构建复杂的搜索条件。在这种情况下,可以使用正则表达式来匹配具有动态值的字符串。
以下是一个示例查询,用于搜索具有动态值的字符串:
index=<索引名称> "<正则表达式>"其中,<索引名称>是要搜索的数据的索引名称,可以根据实际情况进行替换。<正则表达式>是用于匹配具有动态值的字符串的正则表达式。
例如,如果要搜索包含以"dynamic"开头的字符串,可以使用以下查询:
index=myindex "dynamic.*"这将返回所有包含以"dynamic"开头的字符串的事件。
对于Splunk的推荐产品,腾讯云提供了一系列与日志分析和搜索相关的产品,包括云原生日志服务、云原生审计日志服务和云原生搜索服务。这些产品可以帮助用户在腾讯云上快速构建和管理日志分析和搜索系统。
- 云原生日志服务:提供高可用、高性能的日志采集、存储、检索和分析能力,支持实时日志分析和告警功能。
- 云原生审计日志服务:提供全面的云安全审计和日志管理功能,帮助用户实时监控和分析云上资源的操作日志。
- 云原生搜索服务:提供全文搜索和分析功能,支持对结构化和非结构化数据进行快速检索和分析。
通过使用这些产品,用户可以轻松地在腾讯云上构建强大的日志分析和搜索系统,实现对具有动态值的字符串的搜索和分析。
相关·内容
1回答
我想进行splunk搜索,其中排除了所有与包含字符串"error“的事件的传递相关的事件。
这是我目前的搜索
*base-search*
| eval rm_id=if(like(_raw, "%[error]%") , 0, transid)
我必须将"rm_id“字段中的所有值排除在我的搜索之外。
浏览 3提问于2022-09-21得票数 -3
回答已采纳
我们的nifi需要拉取在splunk中生成的文件,但似乎该文件可以出现在任何一个splunk搜索头上,我不知道是否可以始终将该文件显示在同一搜索头上,但从splunk团队请求这样的更改将是困难的。 我继承的nifi通过4个独立的getSFTP解决了这个问题,每个getSFTP都被硬编码为轮询4个服务器中的一个。然而,它根本不是动态的。我现在正在移植这个nifi流,以在不同的云中运行,这包括尝试参数化一些以前硬编码的值。对于getSFTP来说,问题在于新云中的搜索头数量取决于它是dev、int还是prod。 我正在寻找一种干净的方法来重写当前的getSFTP,以便仍然轮询我们需要的文件,但根据
浏览 15提问于2021-08-04得票数 0
回答已采纳
我正在使用java rest api sdk从Splunk的搜索应用程序中检索事件。我在搜索期间检索了名为splunk_server的字段,并为其设置了值。然后,我尝试将日志消息格式化为key=value对模式。例如:splunk_server=remoteserver。我希望将我为新事件设置的splunk_server值添加到splunk中。但出现的是默认值。
有没有办法设置splunk_server的值,并在每次添加新事件时显示我在Splunk服务器中设置的值?
浏览 2提问于2012-03-27得票数 0
1回答
我想要一个单一的搜索查询下面的splunk查询。
第一次搜索会给出一个动态字段myorderid
index=mylog "trigger.rule: Id -*:意外系统错误“| rex field=_raw "Id -""(?^:*)”|表myorderid
我想在下面的搜索条件中传递上面的myorderid
index=mylog API=Order orderid=myorderid
有没有人可以帮我在splunk中使用子搜索创建一个查询。
浏览 2提问于2018-11-23得票数 0
我对使用Splunk非常陌生,我有一个非常基本的问题。是否可以使用REST API来查询Splunk,而不使用已经保存的搜索?
谢谢。
浏览 0提问于2012-11-14得票数 2
回答已采纳
我有一个字典,它是根据Splunk搜索的结果动态生成的。字典的内容如下:
SiteID Reporting Total
FLNGAASF1 3 9
MSNGAASF2 14 26
PANGAASF1 31 40
下面是生成字典的Python代码:
SiteIDs = defaultdict(list)
SiteIDs.clear()
Splunk搜索在这里
for result in results.ResultsReader(jobC.results(segmentation='none'))
浏览 1提问于2015-03-18得票数 0
回答已采纳
我在splunk中有一个警报设置,它使用下面的搜索字符串。
index="someapp" sourcetype = "some:app" "some_scheduler" "ERROR"
| regex source = "(lambda:prod)"
我找不到定义(lambda:prod)的位置。这个搜索查询在全球范围内工作,所以我假设它不是在应用程序级别或其他什么地方定义的。
浏览 0提问于2021-01-12得票数 0
2回答
如何从搜索返回的splunk事件列表中获得特定splunk事件的url?
如果这是不可能的,而且我需要创建一个只返回该事件的搜索,那么对于我可以在查询中使用的每个事件,是否有一些唯一的id呢?
浏览 2提问于2017-11-07得票数 8
回答已采纳
我试图在splunk中的搜索字符串下面
index=imdc_vms sourcetype=hadoop:app:compass:services TimeoutException with args[/mapr
但是它给出了错误信息
‘SearchParser’中的错误:在'/‘之前缺少一个搜索命令。搜索查询'search index=imdc_vms sourcetype=hadoop:app:compas.{snipped} {errorcontext = with [/mapr}‘的位置'88’时出错。
你能帮我解决这个问题吗。我知道这是因为正斜杠"/“
浏览 4提问于2016-09-10得票数 0
回答已采纳
我是一个相对较新的公司,它使用服务来创建Splunk环境。到目前为止,IT公司已经搭载了许多AWS、Azure、on和网络设备。我试图验证他们实际上是在将日志发送到Splunk索引中,以便我最终可以应用用例并对日志进行警报,并对那些不发送但应该发送的主机进行故障排除。在公司里没有一个Splunk资源,所以我正在尽我最大的努力去解决它。(经典)
IT经理给了我一个主机名和私有IP地址的电子表格,用于转发日志的所有设备。一开始,我想我可以运行一个搜索,只需将他的列表与主机名收到的日志进行比较,但我无法理解。这是我所做的。
在30天的搜索过程中,我运行了| metadata type=hosts i
浏览 10提问于2022-08-23得票数 1
我正在尝试使用splunk在日志中搜索一个模式(见下文)。我要搜索的字符串包括双引号。
下面的信息日志打印在记录器中。
INFO: o.l.k.SomeClass: {"function": "delete", "tenenId":"15897",.......}
我要搜索的字符串是“函数”:“删除”
我正在尝试执行的splunk查询是..
index="12585" "\"function\": \"delete\""
我不太确定这是否会奏效。有什么建议吗?
浏览 9提问于2020-07-06得票数 2
我需要在运行我的代码时记录一些细节。splunk不使用空格、引号等索引键的值。是否有任何标准过程可以将任何字符串/文本转换为splunk友好格式。
示例字符串:
key=string1
key=hello word
key="Hi, How are you", she exclaimed.
key="Wow what a pic!!!!"
key=this word means 'hua' in hindi.
key=%$^##@@####3
等
浏览 2提问于2015-08-27得票数 1
回答已采纳
当我在splunk search head中键入此搜索查询时:
index=main sourcetype=mySrcType | top fieldA fieldB
Splunk会自动将count列添加到结果表中。现在,这个数是多少?它是每个字段计数的简单和吗?
浏览 10提问于2017-07-29得票数 0
回答已采纳
1回答
我想在Splunk中执行行为分析/异常检测,通过比较历史数据(比如上个月的数据)和今天的数据来发现异常。
我正在分析FTP日志,因此,例如,我想要具有I/城市和登录时间的所有用户的历史基线/报告。异常可以定义为同一用户从不同的IP范围/城市和不同的时区登录。命令:异常、异常值、分析字段在Splunk中可用,但这些命令通常在搜索数据的时间范围内工作,而不是像我们希望的那样与用户的历史数据进行比较。
我如何在Splunk中实现这一点?
浏览 3提问于2014-10-21得票数 0
当我使用此搜索运算符时,search "response.header.status"!=200 splunk将只包含存在response.header.status路径的结果。
因此,此处的搜索参数隐式地强制要求该属性存在,而不管其值如何。
是否有一种搜索变体,允许我根据路径的值排除结果,但如果路径不存在,仍然包括结果吗?
浏览 2提问于2020-08-12得票数 0
回答已采纳
我正在尝试将Splunk搜索转换为Elasticsearch搜索。我遇到的一个问题是如何处理Splunk的数据模型。如何将在Splunk中的特定数据模型中执行搜索转换为Elasticsearch搜索?
例如,在Splunk搜索中: tstats summariesonly=T count from datamodel="Web"........
Elasticsearch等同于在"Web“数据模型中执行搜索吗?
任何帮助,无论多么小,都会有帮助。谢谢
浏览 1提问于2016-10-08得票数 0
1回答
我是Splunk的新手。我的目标是优化API调用,因为这个特定的API方法需要5分钟以上的时间来执行。
在Splunk中,我使用context ID进行了搜索,获得了针对该特定执行的主API调用函数所调用的所有函数和子函数。现在我想知道哪个子函数花了最多的时间。在左侧的Splunk中,在字段列表中,我看到了字段名称CallStartUtcTime (例如"2021-02-12T20:17:42.3308285Z")和CallEndUtcTime (例如"2021-02-12T20:18:02.3702937Z")。在搜索中,我怎样才能写出一个函数,让我在这两次之
浏览 113提问于2021-02-13得票数 0
我正在尝试建立一个Splunk警报,其目的是检测用户帐户是否已被使用。在此警报中,我要排除一个时间范围(上午5点到6点之间)每周二和周四。在此期间,帐户应被合法使用。在这段时间内,我还想排除正在使用它的服务器的IP地址。 为了清楚起见,我们假设我们有一台带有IP 10.10.10.5/32的服务器。此服务器在每周二和周四的05:00到06:00之间使用帐户useraccount。我需要Splunk警报来搜索帐户的任何使用,即使在10.10.10.5上,但在上面的时间段,从警报搜索中排除10.10.10.5,如果这是有意义的。 这就是我到目前为止所做的,我还没有想出一种方法来在这段时间内排除服
浏览 41提问于2021-07-10得票数 0
回答已采纳
2回答
这是我在这里的第一篇文章。我确信这个话题已经过时了,但我似乎找不到任何解决我的问题的方法。
我正在尝试设计一个Windows Form应用程序(c#),用户可以在其中连接到Splunk实例并执行一些操作,其中包括获取现有已保存搜索的列表。
我使用的是"Splunk.client“,连接或执行搜索都没有问题。但无论我如何尝试,我都无法获得现有已保存搜索的列表。
这有可能吗?你们有什么建议吗。
我很感谢你的帮助。
浏览 19提问于2021-05-19得票数 0
问:我使用的是默认的Splunk UI搜索屏幕,在该屏幕中,我有一个包含分类值(例如主机名)字段的搜索,我希望将该字段转换为数字。到目前为止,我找到的唯一解决方案是使用eval-case组合来识别和转换每个名称。如果你有一个很小的有限的名字列表,这个功能就很好用。我的字段的名称数量不确定,我希望避免使用Splunk的内置热编码,例如eval { field } = 1。这会产生一组列,根据字段的基数,这些列可能会运行到非常高的数字。
下面是一个使用eval和case的示例。同样,这对于一些已知值也很有效。我正在寻求一种更动态的方法来处理大量的值。
| eval src_zone_num = c
浏览 0提问于2020-04-18得票数 0
Splunk中是否有Rest查询来获取在Splunk上执行的未保存/临时搜索。
给你一个背景,
团队正在试图理解加载模式,我们能够找到如何找到保存的搜索执行下面的链接。
在让所有用户在Splunk上执行未保存/临时搜索时,我们需要一些帮助
| rest /servicesNS/-/-/saved/searches splunk_server=local
上面的查询获取保存的搜索,但是在获取未保存的/特殊的搜索时需要帮助。
浏览 8提问于2022-06-29得票数 0
我设置了一些set作业并将其部署到Azure,System.Diagnostics.Trace输出自动上传到(blob db)/(service System.Diagnostics.Trace)
我有Splunk的附加读物,如下所示:
导入工作正常,所以现在我正在寻找一种方法,以几种方式更改默认行为:
将数据源报告为完整的blob名称(如"MyService/2017/07/15/1234-5678.applicationLog.csv“)
所需: Splunk只报告服务名称(如"MyService“)的数据源。这将使在源代码上的搜索更容易。
Splunk报告
浏览 3提问于2017-08-03得票数 0
如何将我的网页重定向到Splunk搜索页面?获取“无效earliest_time”
我想将我的网页重定向到splunk搜索页面
我使用这个URL:
但我一直在说“无效的earliest_time”。
当我在Splunk搜索页面中执行搜索时,我在browser:中看到这个URL
我的问题是,Splunk如何将最早的=05/11/2015:16:44:28转化为earliest=1431351868?我在和Java一起工作。我试着在请求中发送日期长值,但仍然得到相同的错误.
谢谢,
浏览 5提问于2015-11-23得票数 0
回答已采纳
我正在使用Splunk java SDK从Splunk服务器搜索模式。我使用的是模式 search index=* env=* (GET OR POST OR PUT OR DELETE) | where isNum(httpStatusCode) 当我在Java SDK中使用这个查询时,Splunk没有发送任何事件。但当我从Splunk web应用程序查询时,它显示了响应。我的Splunk日志包含两种类型的事件。一个事件类型为httpStatusCode字符串,另一个事件类型为httpStatusCode number.Both,如下所示: 类型1 [31/Jan/2019:10:27:4
浏览 49提问于2019-01-31得票数 1
我正在设置我的Splunk搜索/警报,以搜索一组服务器中的错误。当错误发生在多台主机上,但每个主机只发生一次时,如何设置警报发送给我?
例如,如果错误持续发生在来自6组的两个主机上,我需要获得两个警报(每个主机一个),但直到第二天才会收到一个警告。(在第二天之前,我将使用节流功能)可以使用splunk吗?
浏览 1提问于2018-10-11得票数 0
我能够在splunk仪表板中获得多个事件(api的日志),如下所示
事件-1:
{ "corrId":"12345", "traceId":"srh-1", "apiName":"api1" }
事件-2:
{ "corrId":"69863", "traceId":"srh-2", "apiName":"api2" }
事件-3:
{ "corrId":"12345",
浏览 0提问于2020-09-30得票数 1
2回答
我在Splunk中有一个脚本,它定期运行,并将数据放入splunk中。现在我也想把这些数据传送到弹性搜索。所以数据在splunk和弹性搜索中都得到了输入。对怎么做有什么想法吗?
浏览 8提问于2016-09-28得票数 1
回答已采纳
我们目前的做法是:
将所有事件发送到Splunk (通过)。
定义Splunk警报,触发Moogsoft。
显然,这会增加延迟,并比必要时更依赖Splunk。这让我想知道,是否有人已经为log4j开发了一个Moogsoft-appender。
一个简单的搜索并没有提出任何问题--因此这个问题。
浏览 3提问于2019-12-15得票数 1
2回答
推出splunk,我正在讨论切换到JSON。Splunk现在支持spath,甚至支持JSON实现用户友好性(ref:http://dev.splunk.com/view/logging-best-practices/SP-CAAADP6 )
具有讽刺意味的是,Splunk还建议反对JSON (ref:http://docs.splunk.com/Documentation/Storm/Storm/User/Bestpractices )。当然,风暴是云,不是托管,而是什么?
有人在splunk中使用JSON吗?有人能谈谈现实世界中索引搜索的性能差异以及利用spath轻松创建搜索查询的能力吗?
浏览 0提问于2015-01-22得票数 0
我有一些splunk警报,如果没有结果就会触发。但是,我们的splunk搜索偶尔会关闭一分钟,导致所有这些警报都会触发。
我不是splunk服务器的负责人,所以我不能做任何事情来提高搜索的能力。但是,我可以修改警报的查询。我不是在寻找如何保持搜索的建议。这不是我能控制的。
有没有办法可以修改搜索以检查搜索是否正常工作?例如,也许有一种方法总是从搜索中返回至少1个结果,然后我可以修改我的警报,使其在只有1个结果而不是0的时候触发。
因此,伪查询应该是这样的: query,如果搜索正在工作,则始终只返回1个结果|将这些结果附加到期望>0结果的原始splunk查询
浏览 14提问于2020-02-28得票数 0
我已经在Splunk中创建了报告:"splunk_report“。我想在Splunk仪表板中使用它。
我已经从report添加了新的面板-> new,但现在它显示了一个表(正如它在saved report中定义的那样),我想要获得该表中的总行数。是否可以计算当前报告的数量?例如:"splunk_report“|统计数据计数(系统)
我不想复制整个搜索查询,因为将来当报告中的搜索更改时,我必须在两个地方更改它。
浏览 1提问于2021-07-21得票数 0
1回答
背景:在我的性能测试之后不久,业务事务的响应时间细节将被输入到splunk中,我需要从splunk中为几个事务生成特定时间段的趋势图。现在,我可以对这些事务的响应时间数据进行分组,但在可视化中,无法生成图表。
有关详细信息,请参阅:SS01.jpg。
使用的查询: index=xyz source=abc (Period!=Period) Transaction_Name=Search OR Address_Book OR Policy |按Transaction_Name计算平均值的图表值(平均值)
我希望图表以SS02.jpg上显示的格式A或B出现。
请在这方面帮帮我。
浏览 5提问于2017-02-24得票数 0
1回答
我正在使用Splunk DB Connect从Splunk获取数据到Splunk。这只是用于演示目的的4行数据。下面是Splunk数据( SELECT * FROM example_database.表) EMP_ID EMP_NAME EMP_SALARY
1 John 3000
2 Greg 3200
3 Peter 1200
4 Mark 2000 我想创建一个简单的栏仪表板在花样条上显示emp_name和emp_salary分别在x轴和y轴。我在Slplunk搜索和报告中使用以下查询 source="c
浏览 12提问于2021-02-04得票数 0
回答已采纳
在通过Spring Splunk入站适配器执行实时搜索时,我得到了以下错误。
SEVERE: org.springframework.messaging.MessagingException: search Splunk data failed; nested exception is java.lang.UnsupportedOperationException: The 'real-time' search isn't supported because of the infinite Splunk Job nature.
谁能告诉我如何从Spring应用程序中执行
浏览 1提问于2016-06-06得票数 0
我希望从应用程序发送日志数据到Splunk。我了解到spring与spring无关,只是Splunk需要一些配置来读取应用程序的日志文件。我想知道如何使Splunk读取应用程序日志文件。
请帮助我解决与Spring的Splunk集成。如果您提供了任何代码片段或引用,那将是很棒的。
浏览 0提问于2020-04-25得票数 3
1回答
面对以下问题:我需要在一些豆荚上添加一个搜索域,以便能够与无头服务进行通信。Kubernetes文档建议设置一个dnsConfig并设置其中的所有内容,这就是我所做的。此外,也有一个限制,即只能设置6个搜索域。清单的一部分:
spec:
hostname: search
dnsPolicy: ClusterFirst
dnsConfig:
searches:
- indexer.splunk.svc.cluster.local
containers:
- name: search
不幸的是,它没有任何效果,并且目标pod上的resolv.conf
浏览 4提问于2020-03-03得票数 4
回答已采纳
我在发帖前搜索了这个问题的答案,所以如果它在这里但我找不到它,我提前道歉!
我正在使用Powershell从Exchange服务器中提取一堆数据,并将其放入一个哈希表中。
我可以通过格式化这个哈希表来满足我自己的报告需求,但是现在我想把这些数据放到Splunk中(我知道Splunk Exchange App,这是为了满足不同的需求)。
所以Splunk可以在没有任何预处理工作的情况下拉入数据,我需要它看起来像下面这样。
timestamp key=value,key=value,key=value,key=value
timestamp key=value,key=value,key=valu
浏览 0提问于2012-01-23得票数 0
回答已采纳
1回答
我正在尝试学习Splunk,并了解如何在AWS上安装Splunk Enterprise。
在阅读文档时,我在Splunk中遇到了索引集群和头部搜索集群,但没有(我能找到的)文档显示这两个集群是如何相互作用的。
在一个环境中设置了索引器集群和搜索头集群,但即使在这个环境中,也没有提到这两个集群如何协同工作和相互关联。
任何参考相关文档或解释的资料都会很棒。
浏览 0提问于2018-01-29得票数 0
这是我的脚本,但它不工作,因为它显示sys.arg8超出了索引范围。
Splunk:您的警报可触发shell脚本或批处理文件,这些脚本或批处理文件必须位于$SPLUNK_HOME/bin/scripts中。使用以下属性/值对:
action.script =
Splunk目前允许您将参数作为命令行参数和环境变量传递给脚本。这是因为命令行参数并不总是适用于某些接口,例如Windows。
环境中可用的值如下:
SPLUNK_ARG_0脚本名称SPLUNK_ARG_1返回的事件数搜索项SPLUNK_ARG_3完全限定的查询字符串SPLUNK_ARG_4已保存的搜索的名称SPLUNK_ARG_5触发原
浏览 1提问于2015-12-02得票数 2
最近,我为我的公司在Centos8中安装了Rabbit MQ。我们也使用Splunk Enterprise,所以我们希望将Rabbit MQ集成到Splunk中,并希望查看、搜索、检查来自Rabbit MQ到Splunk中的日志。我怎么能做到这一点我不知道。我在谷歌上搜索了一下,但我没有得到关于它的信息。有没有人能帮我实现这个目标?谢谢
浏览 1提问于2020-06-19得票数 0
我想在Splunk中创建一个报表/线条图,它显示了每周负荷的多个数据点。下面是电子表格中的一个简单示例,但我很难找到这在Splunk中是否可行,如果是的话,如何实现它。我在用
"| dbquery mydatabaseconn "Select load_date, source, sum(transactions) from mytable group by load_date, source "
作为我的搜索。
浏览 5提问于2015-11-30得票数 0
回答已采纳
我是Splunk的新手,我正在编写一个Splunk查询,该查询从仪表板上的下拉选项中获取一个键,然后我想提取与csv文件中的键相关联的不同行(特别是域),然后在搜索中使用它来按域过滤它。
我现在写的查询是:
basequery
| lookup tenant.csv key as tenant_key output domain as Domain
| search tenant_key = $selected_client$
| stats count
我只想显示与下拉列表提供的键相关联的按域过滤的计数。我不太确定哪里出了问题,也不知道该怎么做。
浏览 12提问于2019-08-13得票数 0
关于Splunk Cloud中的PagerDuty集成,我遇到了一些不同的问题。
PagerDuty网站上的文档要么是过时的,不适用于Splunk Cloud,要么是我的Splunk Cloud帐户的配置方式有问题(可能是权限问题):。我在Splunk Cloud中没有看到Alert Actions页面,但我有一个搜索、报告和警报页面。
我已经使用alert_logevent应用程序在Splunk中配置了PD警报,但还不清楚我是否应该使用其他应用程序。当有搜索结果时,这些警报确实会触发,但我看到了另一个问题(如下所示)。alert_webhook应用程序类型似乎是合适的,但我无法让它正常工作。
浏览 1提问于2019-01-07得票数 1
我想从第二个splunk搜索的结果中过滤一个splunk搜索的结果 我有两个splunk查询 index=pool status=OK Detail=Outgoing | table order
A11 A12 A13
index=pool status=OK Detail=Incmoing| table order
A11 A12 我想从第一次搜索中过滤第二次搜索的结果,这样我就可以得到如下结果 A13
浏览 12提问于2019-04-19得票数 0
1回答
我是新来的。就三天而已。我一直在使用Lucene索引和搜索原始数据形式的外地和非外地数据。我对lucenes搜索的表现印象深刻。我想知道经验社区是否能在splunk的一些功能上指导我。具体来说,与我对Lucene的了解相比,splunk。不仅仅限于搜索。
如何处理停止词?很常见的词是.我们可以手动提供给lucene.
是splunk通配符搜索、邻近搜索、regex搜索吗?我知道它可以进行实地搜索。
索引的优化。特别是compression.
可以在splunk上进行基于模糊同义词的搜索吗?
我知道这一定是一个很长的问题,但我很想从经验丰富的人那里了解一些观点,希望不要偏离规则。
谢谢。
浏览 1提问于2012-03-22得票数 0
回答已采纳
在Splunk中,我需要将搜索结果客户端IP列表与输入查找CSV文件knownip.csv相匹配。我想要结果,它与CSV文件不匹配。
步骤1.创建了已验证的已知IP列表,作为保存在本地系统中的CSV文件。
步骤2.导航管理器>查找>添加新>查找表文件
步骤3.上传了我的文件并命名为KnownIP.csv。现在在管理器>查找>添加新>查找定义下面有name=clientIP,lookup-file=KnownIP.csv。
步骤4.现在定义我的搜索查询如下:
search NOT[|inputlookup Lookupfile | fields Name ]
浏览 4提问于2014-12-14得票数 0
我们的Splunk服务器对来自其客户端的审计日志进行索引。我们每周一次通过Splunk搜索对这些日志进行审计。我的问题是,如果有人编辑已经索引的日志文件中的条目,Splunk会重新索引编辑的文件并覆盖索引中的旧条目,或者Splunk会保留这两个条目(一个在编辑之前,一个在编辑之后)。我在这里试图确认的是,如果我从上个月开始通过Splunk查看审计日志,并且有人仅在上周删除了原始日志文件的条目,那么被删除的条目还会出现在Splunk搜索中吗?
浏览 0提问于2017-12-07得票数 2
回答已采纳
1回答
我们可以有多个目的地从单一的动态流?我在Splunk中获得输出,但现在我还想添加一个S3桶作为目标。如果我添加了另一个亚马逊动态数据火龙带,它会影响Splunk阅读的性能吗?斯普伦克直接从运动中抽离。如果我添加另一个目的地,它会影响我们当前的读写吗?
浏览 0提问于2020-06-22得票数 0
回答已采纳
尝试通过cli运行远程命令/搜索,但得到“找不到” 已在server.conf中设置allowRemoteLogin=always 管理端口设置为8081。 /opt/splunk/bin/splunk show splunkd-port -auth 'admin:XXXXXXXX' -uri 'https://XXXXXXXXX:8081'
Not Found 当远程运行时(在运行Splunk的服务器上),这很好: /opt/splunk/bin/splunk show splunkd-port -auth 'admin:XXXXXXXXXXXX&#
浏览 18提问于2019-02-17得票数 0
回答已采纳
我需要从splunk中识别出所有独特的日志模式。我可以在splunk UI的pattern选项卡上获得它,但我想通过编程获得它。
我可以使用splunk sdk获得搜索结果,但无法找到唯一的日志模式。
浏览 0提问于2017-03-22得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM活动推荐
腾讯云开发者
