标签: splunk

我见过大约177次.

这是我从Splunk Mint得到的堆栈跟踪.

这次崩溃的任何解决方法？

主要发生在iOS 8.3上

0   IOKit   IOServiceAddInterestNotification (in IOKit) + 44
1   UIKit   _MatchedBatteries (in UIKit) + 100
2   UIKit   -[UIDevice setBatteryMonitoringEnabled:] (in UIKit) + 208
3   Earthmiles  -[DataFixture appendBaseValues] (in Earthmiles) + 2180
4   Earthmiles  -[DataFixture init] (in Earthmiles) + 80
5   Earthmiles  -[NetworkDataFixture init] (in Earthmiles) + 56
6   Earthmiles  SplunkNSURLConnectionSendSynchronousRequestReturningResponseError (in Earthmiles) + 164
7   Earthmiles  abt_utf8_nextCharSafeBody (in Earthmiles) + 41984
8   libdispatch.dylib   _dispatch_call_block_and_release (in libdispatch.dylib) + 24
9   libdispatch.dylib   _dispatch_client_callout (in libdispatch.dylib) + 16 …

有没有办法通过splunklib.results模块或任何splunklib模块获取Splunk搜索期间发生的错误数量？

下面是我的代码到目前为止:

#purpose of script: To connect to Splunk, execute a query, and write the query results out to an excel file.
#query results = multiple dynamic # of rows. 7 columns. 

#!/usr/bin/env python
import splunklib.client as client #splunklib.client class is used to connect to splunk, authenticate, and maintain session
import splunklib.results as results #module for returning results and printing/writing them out

listOfAppIDs = []
#open file to read each line and add each line in file to an array. …

要查找包含“gen-application”的日志行，我使用以下搜索查询：

source="general-access.log" "*gen-application*"

如何修改查询以便返回不包含“gen-application”的行？

source="general-access.log" != " gen-application " 返回错误：

Error in 'search' command: Unable to parse the search: Comparator '!=' has an invalid term on the left hand side: 

我在 signalfx 图表中有以下公式，但它没有显示任何结果，因为F有 0 个时间序列。我怎样才能将其显示为 0 而不是这个空行。

F = data('myapi.job.count', filter=filter('environment_type', '*') and filter('execution_status', 'failed'), rollup='sum', extrapolation='zero').sum().sum(over='7d').publish(label='F', enable=False)
A = (F).publish(label='A')

如何从搜索返回的 splunk 事件列表中获取特定 splunk 事件的 url？

如果这是不可能的，并且我需要创建一个只返回该事件的搜索，那么我可以在查询中使用的每个事件是否有一些唯一的 ID？

我对 Splunk 非常陌生，基本上已经陷入了困境！对语言也很陌生，所以下面的任何帮助和提示都会很棒。

我想要得到的结果是加入查询并获取用户名、ID 和登录次数。

查询来自 diff 源、源类型和主机。

查询 1 是用户名和 ID，查询 2 是用户名和登录次数。

查询1：userName=” ”entityNumber=” ” | eval 用户名=upper(用户名) | 重复数据删除用户名、实体编号 | 将用户名重命名为 User | 表用户，实体编号

查询2：“登录成功。” | rex field=_raw "用户[\":] (?[^\"IP] )"| 评估用户=上层（用户）| 表用户 | 按用户统计计数

在此先感谢您的帮助。J

我正在寻找展示如何从 React JS 16+ 应用程序将日志消息写入 Splunk 的示例。 Splunk 在其文档中有一个 TypeScript 片段，但我有兴趣了解其他人如何将其绑定到 React 框架中，以便正确配置和初始化所有内容以在应用程序中使用。

注意：我考虑过将 log4js 与 Splunk 的自定义附加程序一起使用，但也没有找到任何示例！

我正在使用 splunk 转发器将我的 IBM MQ v9.1 错误日志转发到一个集中式集群，以查看我的分布式消息传递系统中发生的常见错误的趋势。

但是我无法解析所需的字段，因为 MQ 错误日志的格式各不相同，即消息的严重性可能是错误、警告、信息、严重和终止，并且每个字段本身都有不同的字段集并且不一致.

请让我知道是否有人在 splunk 中使用正则表达式来解析 v9.1 的 IBM MQ 错误日志的字段。

我尝试了一些正则表达式模式，但没有按预期解析。

我已经提到了下面的链接，但那是针对 v8 的，v9 的错误日志格式不同，https: //t-rob.net/2017/12/18/parsing-mq-error-logs-in -splunk/

此外，splunk 用户无法访问错误日志。我在 qm.ini 文件系统中更新了以下节：ValidateAuth=No

还将 chmod -R 755 设置为 /var/mqm/qmgrs/qmName/errors 文件夹。

尽管 ERROR 日志的权限在更新时不会更改，但当日志轮换时，权限将被撤销，并且 splunk 用户无法读取日志。

请让我知道如何在不将 splunk 用户添加到 mqm 组的情况下克服这个问题

我是 splunk 的新手。我有这个 json：

"request": {
    "headers": [
        {
            "name": "x-real-ip",
            "value": "10.31.68.186"
        },
        {
            "name": "x-forwarded-for",
            "value": "10.31.68.186"
        },
        {
            "name": "x-nginx-proxy",
            "value": "true"
        }

当属性名称具有“x-real-ip”值时，我需要选择一个值。

在 Splunk 中，我尝试提取 JSON 结构的“标签”元素内的键值对，以便每个键值对成为一个单独的列，以便我可以搜索它们。例如 ：

| spath data | rename data.tags.EmailAddress AS Email

但这并没有帮助，电子邮件字段为空。我正在尝试对所有标签执行此操作。有什么想法/指示吗？

{
    "timestamp": "2021-10-26T18:23:05.180707Z",
    "data": {
        "tags": [
            {
                "key": "Email",
                "value": "john.doe@example.com"
            },
            {
                "key": "ProjectCode",
                "value": "ABCD"
            },
            {
                "key": "Owner",
                "value": "John Doe"
            }
        ]
    },
    "field1": "random1",
    "field2": "random2"
}