我的目标: 下面的查询通过 b_key 给出了成功、失败的计数。 我现在想获得所有成功和失败的总和,如下图所示。 我还想计算发生故障的 b_key 的数量。 在下面的示例中,它将是 2。 询问: ...
我的目标: 下面的查询通过 b_key 给出了成功、失败的计数。 我现在想获得所有成功和失败的总和,如下图所示。 我还想计算发生故障的 b_key 的数量。 在下面的示例中,它将是 2。 询问: ...
我的应用程序每天记录一个 json,其中包含一个饼图 map。 例如这个 JSON: 它来自日志消息,我想为每个gitTextsInformation创建一个饼图我已经尝试创建一个表: 但它不能作为创建饼图的搜索 ...
我的 splunk 数据看起来像这样 有时 foo 是空的,有时它里面有数据。 我想使用SPL2查询所有 EMPTY 。 我尝试了foo=[]和foo="[]"但都不起作用。 ...
如果事件有 URL,并且您想在搜索表中显示 URL,您可以在其中将 URL 设为可点击的链接,该链接将 go 指向 URL,您该怎么做? 现在,我正在这样做: 它正在工作,但这使我的所有行都进入此链接,我希望只有当您单击特定的 URL 时,它才会将您带到此链接 ...
在日志中我们有一个值“device=xyz,1”,这里我们需要将“xyz,1”视为单个值并以表格格式显示它。 但是现在,当我们运行查询时,它只将设备值显示为“xyz”并遗漏了“,1”。 如何将其视为单个值。 查询示例: ....|eval device = if(isnull(device), "n ...
我发送的是 - payload.url 字段 - 每个事件的一些链接,但在仪表板 - 表中它显示为文本而不是链接。 也许有人试图这样做? 我已经添加 -访问示例网站将标签放入有效负载并尝试以两种方式发送它: <a href="https://www.example.com">Visit ...
我想在 Splunk 中实现类似 group_concat 的行为。在表中,serviceA 有 2 个条目需要与分隔符组合,并且需要添加计数。 有什么方法可以使用 SPL 实现功能。 任何帮助表示赞赏。 谢谢!! ...
我正在尝试过滤 Splunk 中包含今天之前未曾见过的唯一字段 (payload.procName) 的事件。 具体来说,我正在寻找包含今天首次出现的 payload.procName 字段的事件。 如何过滤这些事件以仅显示今天出现但以前从未出现过的唯一 payload.procName 值? 我试 ...
我有多条日志消息,每条消息都包含一个 JobIds 列表 - IE - 我有一个rex来获取这些 jobIds。 接下来我要统计jobIds的数量我的查询看起来像这样 - 但是当我正在寻找 5 时,这只会给我 3 个计数。我怎样才能得到所有 jobIds 的计数? 我不确定这是否是一个 splun ...
第一次活动 06:09:17:362 信息 com.xyConnApp - 发出 GET 请求第二个事件 06:09:17:480 INFO com.abResponse - Output 状态码:200 现在我想为每个请求计算这两个事件的持续时间。 我查看了 splunk 和 Stack Over ...
我有一部分日志条目看起来像一个数组,但我只能使用{}符号访问它。 例如,我认为路径是line.ul-log-data.meta.data[0].foo ,但我可以访问该值的唯一方法是line.ul-log-data.meta.data{}.foo . 我一直在尝试各种多值现场评估,但效果不佳。 例如 ...
例如:list = {abc::12345, xyz::345}。 要求是我必须得到 {abc, xyz} 作为查询结果。 删除定界符后的部分后需要列表中值的统计计数:: ...
我的应用程序有以下日志: 上面的整个日志是单个字符串的形式。 我想创建一个没有的表。 appID命中服务的次数。 即我想数一数。 事件并按 appID 对它们进行分组。 基本上,是这样的: 我尝试使用以下查询,但它不起作用。 它给出了 0 条记录。 根据我的理解,上面的查询不起作用,因为appID ...
假设我有一个查询,例如 这将为我提供每个 ID 带有该错误代码的所有事件。 然后我想结合这个查询来搜索同一个日志文件中的另一个字符串,但仅限于第一次搜索返回的唯一 ID。 因为新字符串将出现在一个单独的事件中,所以我不能只做一个“与”。 ...
在 splunk 中,我有一个事件包含 JSON 数据,指示功能切换列表的状态。 看起来像这样 我如何提取它并将其呈现在包含 id、feature 和 enabled 列的表中? 我已经尝试了无数的例子,但似乎无法让它发挥作用。 谢谢你。 编辑: 这就是我最后要做的 ...
我是 splunk 语言的新手,我正在尝试检测从源 ip 地址到目标 ip 地址的 100 多个特定端口(20、21、23、80、443)的扫描它没有给我任何结果,尽管我确信有与此搜索相对应的结果。 我创建了以下规则: 索引.网络 | stats dc(destination_port) as n ...
我想从另一个搜索中确定并返回进程名称。 是否有任何命令可以满足以下要求? ...
在 Splunk 中查询时,我们在右侧有时间范围选择下拉列表。 选择范围时如果发现自己通常复制和粘贴 4 次。 从日期从时间迄今为止到时候我每天必须这样做好几次——我觉得这很烦人! 我的问题: 有没有办法自定义 Splunk 范围选择器? 或者是否有更有效的方法来进行此类查询? ...
我正在使用 Splunk 经典仪表板,其中有 2 个时间范围输入。 我想比较单个表中 2 个时间范围的数据。 本质上,我想执行按类型计算 A 期和 B 期错误的查询,然后按错误类型加入搜索,这样我就可以看到 A 期相对于 B 期每种类型有多少错误。 我添加了一个面板如下: 因为我想使用来自两个时 ...
我试图从 email 警报消息的 splunk 搜索中获取值。 我用于触发警报的 splunk 搜索查询是"resourceGroup="myResourceGroup" severity="Error" (简化版)。搜索的 output 如下所示 Q1:如何从我的 email 警报中的搜索结果中 ...