标签[splunk-query] - 堆栈内存溢出

Splunk：如何对作为 if 条件结果的字段的值求和 - Splunk : How to sum the values of the fields that are a result of if condition

我的目标：下面的查询通过 b_key 给出了成功、失败的计数。我现在想获得所有成功和失败的总和，如下图所示。我还想计算发生故障的 b_key 的数量。在下面的示例中，它将是 2。询问： ...

Splunk 从 JSON map 创建饼图 - Splunk create Pie chart from JSON map

我的应用程序每天记录一个 json，其中包含一个饼图 map。例如这个 JSON：它来自日志消息，我想为每个gitTextsInformation创建一个饼图我已经尝试创建一个表：但它不能作为创建饼图的搜索 ...

如何在 SPL2 splunk 查询中获取数组的长度 - How to get length of array in SPL2 splunk query

我的 splunk 数据看起来像这样有时 foo 是空的，有时它里面有数据。我想使用SPL2查询所有 EMPTY 。我尝试了foo=[]和foo="[]"但都不起作用。 ...

Splunk - 如何制作可点击的超链接 - Splunk - How do I make a clickable hyperlink

如果事件有 URL，并且您想在搜索表中显示 URL，您可以在其中将 URL 设为可点击的链接，该链接将 go 指向 URL，您该怎么做？现在，我正在这样做：它正在工作，但这使我的所有行都进入此链接，我希望只有当您单击特定的 URL 时，它才会将您带到此链接 ...

Splunk 查询以获取逗号分隔值作为单个值 - Splunk Query to get comma separated value as single value

在日志中我们有一个值“device=xyz,1”，这里我们需要将“xyz,1”视为单个值并以表格格式显示它。但是现在，当我们运行查询时，它只将设备值显示为“xyz”并遗漏了“,1”。如何将其视为单个值。查询示例： ....|eval device = if(isnull(device), "n ...

Splunk-Dashboard - 如何在表格可视化中添加链接作为字段？ - Splunk-Dashboard - how to add links as field in table visualization?

我发送的是 - payload.url 字段 - 每个事件的一些链接，但在仪表板 - 表中它显示为文本而不是链接。也许有人试图这样做？我已经添加 -访问示例网站将标签放入有效负载并尝试以两种方式发送它： <a href="https://www.example.com">Visit ...

如何在 Splunk SPL 中应用 group_concat - How to apply group_concat in Splunk SPL

我想在 Splunk 中实现类似 group_concat 的行为。在表中，serviceA 有 2 个条目需要与分隔符组合，并且需要添加计数。有什么方法可以使用 SPL 实现功能。任何帮助表示赞赏。谢谢！！ ...

Splunk - 如何找到第一次出现的查询 - Splunk - How to find the first appearance of queries

我正在尝试过滤 Splunk 中包含今天之前未曾见过的唯一字段 (payload.procName) 的事件。具体来说，我正在寻找包含今天首次出现的 payload.procName 字段的事件。如何过滤这些事件以仅显示今天出现但以前从未出现过的唯一 payload.procName 值？我试 ...

正则表达式计数捕获组成员 - Regex count capture group members

我有多条日志消息，每条消息都包含一个 JobIds 列表 - IE - 我有一个rex来获取这些 jobIds。接下来我要统计jobIds的数量我的查询看起来像这样 - 但是当我正在寻找 5 时，这只会给我 3 个计数。我怎样才能得到所有 jobIds 的计数？我不确定这是否是一个 splun ...

如何计算没有公共元素的splunk中两个事件之间的持续时间 - How to calculate time duration between two events in splunk which dont have common element

第一次活动 06:09:17:362 信息 com.xyConnApp - 发出 GET 请求第二个事件 06:09:17:480 INFO com.abResponse - Output 状态码：200 现在我想为每个请求计算这两个事件的持续时间。我查看了 splunk 和 Stack Over ...

Splunk：条目看起来像一个数组，但不能作为一个数组访问 - Splunk: Entry looks like an array but can't be accessed as one

我有一部分日志条目看起来像一个数组，但我只能使用{}符号访问它。例如，我认为路径是line.ul-log-data.meta.data[0].foo ，但我可以访问该值的唯一方法是line.ul-log-data.meta.data{}.foo . 我一直在尝试各种多值现场评估，但效果不佳。例如 ...

SPLUNK 查询：需要使用定界符拆分列表中的字符串 - SPLUNK Query : need to split a string in a list using delimiter

例如：list = {abc::12345, xyz::345}。要求是我必须得到 {abc, xyz} 作为查询结果。删除定界符后的部分后需要列表中值的统计计数:: ...

Splunk 查询推荐 - Splunk Query Recommendation

我的应用程序有以下日志：上面的整个日志是单个字符串的形式。我想创建一个没有的表。 appID命中服务的次数。即我想数一数。事件并按 appID 对它们进行分组。基本上，是这样的：我尝试使用以下查询，但它不起作用。它给出了 0 条记录。根据我的理解，上面的查询不起作用，因为appID ...

SPLUNK 在第二次搜索中使用第一次搜索的结果 - SPLUNK use result from first search in second search

假设我有一个查询，例如这将为我提供每个 ID 带有该错误代码的所有事件。然后我想结合这个查询来搜索同一个日志文件中的另一个字符串，但仅限于第一次搜索返回的唯一 ID。因为新字符串将出现在一个单独的事件中，所以我不能只做一个“与”。 ...

Splunk 事件 JSON 到表 - Splunk Event JSON to Table

在 splunk 中，我有一个事件包含 JSON 数据，指示功能切换列表的状态。看起来像这样我如何提取它并将其呈现在包含 id、feature 和 enabled 列的表中？我已经尝试了无数的例子，但似乎无法让它发挥作用。谢谢你。编辑：这就是我最后要做的 ...

使用 SPL splunk 规则检测端口扫描 - detecting port scanning using SPL splunk rule

我是 splunk 语言的新手，我正在尝试检测从源 ip 地址到目标 ip 地址的 100 多个特定端口（20、21、23、80、443）的扫描它没有给我任何结果，尽管我确信有与此搜索相对应的结果。我创建了以下规则：索引.网络 | stats dc(destination_port) as n ...

使用 if 从另一个索引获取 splunk rseslut - Using if to get splunk rseslut from another index

我想从另一个搜索中确定并返回进程名称。是否有任何命令可以满足以下要求？ ...

是自定义 Splunk 的时间范围选择器的方法吗？ - Is the a way to customize Splunk's time range selector?

在 Splunk 中查询时，我们在右侧有时间范围选择下拉列表。选择范围时如果发现自己通常复制和粘贴 4 次。从日期从时间迄今为止到时候我每天必须这样做好几次——我觉得这很烦人！我的问题：有没有办法自定义 Splunk 范围选择器？或者是否有更有效的方法来进行此类查询？ ...

如何在单个 Splunk 仪表板查询中使用来自 2 个时间范围输入的标记？ - How to use tokens from 2 time range inputs in single Splunk dashboard query?

我正在使用 Splunk 经典仪表板，其中有 2 个时间范围输入。我想比较单个表中 2 个时间范围的数据。本质上，我想执行按类型计算 A 期和 B 期错误的查询，然后按错误类型加入搜索，这样我就可以看到 A 期相对于 B 期每种类型有多少错误。我添加了一个面板如下：因为我想使用来自两个时 ...

从 splunk 搜索结果中获取值到 Email 警报消息 - Getting value from splunk search result to Email Alert Message

我试图从 email 警报消息的 splunk 搜索中获取值。我用于触发警报的 splunk 搜索查询是"resourceGroup="myResourceGroup" severity="Error" （简化版）。搜索的 output 如下所示 Q1：如何从我的 email 警报中的搜索结果中 ...