Splunk到Elasticsearch數據模型翻譯

Question

我試圖將Splunk搜索轉換爲Elasticsearch搜索。我遇到的一個問題是如何處理Splunk的數據模型。我將如何將Splunk中特定數據模型的搜索轉換爲Elasticsearch搜索？

例如，在Splunk的搜索： tstats summariesonly =從數據模型=「網絡」 T計數........

會是什麼Elasticsearch等同於「網絡執行搜索「datamodel？

任何幫助，無論多小幫助確實。謝謝

Answer 1

在搜索中打開查詢並使用搜索檢查器。檢查員會告訴您知道哪個查詢splunk實際執行。

雖然tstats搜索索引時間字段，但您必須重現所有數據模型字段和聚合（即數據模型加速），如果可能的話，這不是一件容易的事情。