[英]Splunk Streamlined search for specific fields only
我已經用完了 GoogleFu,所以如果有人能指出我正確的方向或更好的一兩個詞到谷歌...我試圖找出 Splunk SPL 語法來搜索 4 個不同的字段以獲得相同的值,任何四個字段中的匹配獲勝,無需在每個字段中搜索TERM(<IP>)
。
index="main" packets_out>0 action="allowed" TERM(192.168.2.1)
| fields src_ip, dest_ip, dest_translated_ip, src_translated_ip,packets_out
| head 10
這些將始終保持不變: index="main" packets_out>0 action="allowed"
IP 將是唯一會改變的變量,我試圖讓其他人盡可能簡單地“打開搜索,更改 1 IP,點擊開始”。
這可以按原樣工作,但是一旦我嘗試使用 2000 台設備搜索 prod 。我希望我的查詢時間不再是 1 秒,即使使用“快速模式”搜索也是如此。 我已經將 4 秒的查詢時間減少到了 1 秒。在我的家庭實驗室中,隨着查詢的數據量已經很大,但我認為這不會很好地擴展。
除了像這樣在查詢中插入 10-20 個設備名稱之外,還有更好的方法嗎? 我寧願沒有 static 設備名稱,所以如果有人“忘記”更新查詢; 我會因為外部 IP 重疊問題而受到指責。
index="main" packets_out>0 action="allowed" TERM(192.168.2.1) dvc_name="firewall1" OR dvc_name="firewall2" <*18>
| fields src_ip, dest_ip, dest_translated_ip, src_translated_ip,packets_out
| head 10
如果需要,原始日志:
Apr 7 23:59:55 192.168.2.1 Apr 7 23:59:55 wall 1,2021/04/07 23:59:54,012801092758,TRAFFIC,end,2560,2021/04/07 23:59:54,192.168.2.189,173.194.219.94,10.10.10.2,173.194.219.94,web_access_out-1,,,quic,vsys1,trust,untrust,ethernet1/8,ethernet1/2,splunk,2021/04/07 23:59:54,2004,1,53384,443,59427,443,0x400050,udp,allow,5528,2350,3178,15,2021/04/07 23:57:53,1,any,0,5261883,0x0,192.168.0.0-192.168.255.255,United States,0,6,9,aged-out,0,0,0,0,,wall,from-policy,,,0,,0,,N/A,0,0,0,0,f863e426-7e87-4999-b5cb-bc6dc38d788f,0,0,,,,,,,,0.0.0.0,,,,,,,,,,,,,,,,,,,,,,,,,,,2021-04-07T23:59:55.282-04:00,,
謝謝,
使用OR
:
index=ndx sourcetype=srctp (fieldA="myval" OR fieldB="myval" OR fieldC="myval")
為了清晰/可讀性添加了括號
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.