splunk

1熱度

1回答

我正在使用Splunk將具有相同名稱的多個字段的日誌編入索引。所有字段的含義相同： 2012-02-22 13：10：00，ip = 127.0.0.1，to = email1 @ example.com，to = email2 @ example.com 在自動提取中事件中，我只會將「[email protected]」提取爲「to」字段。我怎樣才能確保提取所有的值？謝謝！

1熱度

2回答

DNS的Splunk（perl）REGEX

我試圖創建一個正則表達式來爲splunk中的DNS請求提取CNAME。我能得到的第一個DNS域名（後一切和之前（「=」）「的CNAME記錄」，但我不能找到一種表達等號後獲得下一個DNS名稱。 Mar 1 09:16:43 123.dns.local Mar 1 09:16:43 dns-01-1 SDNS: -> Answer: CNAME-record for dl.wu.ms.edgesuit

1熱度

1回答

彙總索引'psrsvd'字段代表什麼？

Splunk中的摘要索引會生成很多psrsvd_ *字段。他們代表什麼？我認爲它們是縮寫或縮寫。下面是作爲記錄由apache的一些實例中平均每客戶端IP返回的字節的數目的情況下，（即sistats avg(bytes) by clientip）： psrsvd_ct_bytes psrsvd_gc psrsvd_nc_bytes psrsvd_sm_bytes psrsvd_ss_bytes ps

1熱度

1回答

Splunk：在字段轉換中引用字段轉換

我使用Splunk通過TCP接收我的Heroku logs。 Heroku的格式這些日誌是這樣的： [timestamp] [host] [source] [process] - - [message] 對於nginx的過程中，日誌出來是這樣的： [timestamp] [host] heroku nginx - - [nginx's output] 我想處理採用Splunk的默認接入提取

0熱度

1回答

如何將日誌配置爲來自遠程unix服務器的數據源的分段

如何配置駐留在遠程unix服務器上的日誌文件的splunk。通常情況下，我登錄到膩子到Linux服務器，從那裏我SSH到另一家公司服務器那裏我瀏覽目錄，並執行我的操作主要是作爲貓，zcat等與grep過濾器。例： 1）登錄從油灰 2）ssh來example_server到ssh_server 3）cd到REQ DIR 4）執行貓等， BTW ssh_server不允許直接從putty登錄

0熱度

2回答

可以休息API允許不安裝splunk轉發器？

我有一個任務：調查可能性不安裝通用轉發器，而只使用java代替。 REST API（java sdk）允許這樣做嗎？

0熱度

1回答

Splunk將當前毫秒中提取的字段轉換爲HH：MM：SS

任何人都可以提供一種方法讓Splunk將提取的字段以毫秒爲單位轉換爲HH：MM：SS？

0熱度

1回答

splunk每個主機的最新事件

我想獲取每個主機的最新事件時間戳，谷歌搜索發現如下： | metadata type = hosts |表主機，lastTime 它似乎工作，返回主機和時間戳，但是，時間戳是一個大整數，我該如何轉換爲本地時間？另外我如何過濾它，以便它只返回某些主機？謝謝。

1熱度

1回答

的Splunk：TCP端口數據輸入未出現在搜索數據源

所以，問題歸結爲 - 重定向我$ python script.py到TCP端口使用NC的輸出。遠程監聽端口捕獲數據。現在，當我使用nc遠程監聽端口號的數據流時，數據正在被正確重定向。當我加入到數據輸入聽在Splunk的端口，我沒有得到任何數據（沒有來自龍捲風日誌或日誌）。另外，當我點擊Splunk中的搜索標籤（全部可見）時，沒有任何內容添加到數據源中。當我使用一個文件，並使用NC重定向端

2熱度

2回答

splunk解析IIS日誌文件

我正在使用Splunk解析來自幾臺服務器的IIS日誌文件，所有服務器都在IIS中設置了相同的字段，並且所有服務器運行的是相同版本的Windows 2003服務器。然而splunk會將這些日誌文件的源類型標記爲「iis」或「iis-2」或「iis-3」......即使是來自同一臺服務器。我似乎無法找到該模式。如何確保splunk標記所有日誌文件相同的類型？另一個問題是，對於一些日誌文件，splun