如何為未使用的事件類型創建Splunk查詢?
[英]How do I create a Splunk query for unused event types?
問題描述
我發現我可以創建一個Splunk查詢來顯示某個事件類型的結果出現在結果中的次數。
severity=error | stats count by eventtype
這將創建一個表,如下所示:
eventtype | count
------------------------
myEventType1 | 5
myEventType2 | 12
myEventType3 | 30
到現在為止還挺好。 但是,我想找到零結果的事件類型 。 不幸的是,那些計數為0的變量不會出現在上面的查詢中,因此我不能僅對此進行過濾。
如何為未使用的事件類型創建Splunk查詢?
1 個解決方案
解決方案1
0 2017-09-30 22:15:06
有許多不同的方法,具體取決於您所說的“事件類型”。 在某個地方,您必須獲取感興趣的列表,然后將其滾動到查詢中。
這是一個版本,假設您的csv包含要查看的事件類型列表...
severity=error
| stats count as mycount by eventtype
| inputcsv append=t mylist.csv
| eval mycount=coalesce(mycount,0)
| stats sum(mycount) as mycount by eventtype
這是另一個版本,假設您想要一個過去90天內發生的所有事件類型的列表,以及昨天發生的事件數量:
earliest=-90d@d latest=@d severity=error
| addinfo
| stats count as totalcount count(eval(_time>=info_max_time-86400)) as yesterdaycount by eventtype
如何為Splunk中的用戶列表查找特定事件的首次發生
[英]How do I find first occurence of a particular event for the list of users in splunk
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.