标签: splunk

我正在使用Splunk来解析一些日志,这些日志中嵌入了我们的"hub"和"comp"ID,在消息正文中.我需要使用字段提取RegEx将它们拉出来:HHHH-CCCC,其中数据如下所示:

Hub:[HHHH] Comp: [HHHH]

这是一个示例记录:

RecordID:[00UJ9ANUHO5551212] TrackingID:[1234ANUHO5551212] Hub:[0472] Comp:[N259]发生了一些事件,日志在这里:: [\ server\share\0472\N258\blah\blah\blah\somefile.txt ],没有例外.

从那以后,我想回来:

0472-N259

我正在努力学习(重新学习!30年前我学会了这些东西!)捕获小组,并想出了这个:

(?<=Hub:\[)([A-Z0-9]{4})

从那里我可以得到4个角色的集线器,但它不会让我这样做:

(?<=Hub:\[)([A-Z0-9]{4})  (?<=Comp:\[)([A-Z0-9]{4})

我有点亲近,但是我很沮丧,现在是时候回家了,所以我想也许可以帮助我一夜之间.百分之百的最佳答案(请解释解决方案).我保证在这个问题符合条件时回来奖励.答案不一定是splunk形式(with <fieldname>),但这也很有帮助.

如果RegEx可以粘贴到http://gskinner.com/RegExr/中,那么我可以进一步试验.

我正在尝试搜索 Splunk 中特定时间范围内发生的事件，但我希望该搜索包含我索引的所有数据，这些数据涵盖了广泛的日期范围。

例如，我想查看已索引的 25 天日志中上午 9 点到下午 4 点之间索引日志文件中的一行是否包含“错误”一词。如果“错误”一词出现在该时间范围之外，我不希望它显示在我的搜索结果中。

对于日期/时间格式，我使用 mm/dd/yyyy:hh:mm:ss

我有什么想法可以解决这个问题吗？

我正在尝试编写一个桌面应用程序，下载我的 splunk(bugsense) 帐户中特定应用程序的所有错误，我下载了他们的示例应用程序，但它给了我以下错误；

描述：必须使用代码契约二进制重写器 (CCRewrite) 重写程序集（可能是“Splunk.Client”），因为它正在调用 Contract.Requires 并且定义了 CONTRACTS_FULL 符号。从项目中删除 CONTRACTS_FULL 符号的所有显式定义并重新构建。CCRewrite 可以从http://go.microsoft.com/fwlink/?LinkID=169180下载。安装重写器后，可以在 Visual Studio 中从“代码协定”窗格上的项目“属性”页面启用它。确保启用“执行运行时合同检查”，这将定义 CONTRACTS_FULL。

另外，我找不到任何用 C# 编写的合适/有效的示例，该示例使用 splunk 的 REST-API 进行身份验证、获取应用程序列表及其各自的错误列表。

示例 SDK 下载链接； http://download.splunk.com/misc/sdk/csharp-pcl/splunk-sdk-csharp-pcl-2.2.3.zip

任何形式的帮助都会有所帮助。

谢谢。

我不是 100% 确定，但我相信 splunk-sdk 正在使用我的代理环境变量。由于我们的应用程序代理的工作限制，我无法从 Node.js 访问 Splunk。我想知道如何防止 splunk-sdk 使用应用程序代理。

var splunkjs = require('splunk-sdk');

var service = new splunkjs.Service({
    username: process.env.SPLUNK_USER,
    password: process.env.SPLUNK_PW,
    scheme: 'https',
    host: 'my.splunk.server',
    port: '8089',
    autologin: true
});

var search_term = 'somethingsomethingdarkside'
var fields = 'field1,field2,field3';
var searchquery = `search index=* sourcetype=* ${search_term} | fields ${fields} | fields - _raw`
var searchParams = {
    earliest_time: '-1h',
    latest_time: 'now',
    output_mode: 'json'
}


service.oneshotSearch(searchquery, searchParams, function(err, results) {
    if (err) {
        console.log(err)
    }
    else {
        console.log(results.results);
    }
}); …

我对 Splunk 非常陌生，基本上已经陷入了困境！对语言也很陌生，所以下面的任何帮助和提示都会很棒。

我想要得到的结果是加入查询并获取用户名、ID 和登录次数。

查询来自 diff 源、源类型和主机。

查询 1 是用户名和 ID，查询 2 是用户名和登录次数。

查询1：userName=” ”entityNumber=” ” | eval 用户名=upper(用户名) | 重复数据删除用户名、实体编号 | 将用户名重命名为 User | 表用户，实体编号

查询2：“登录成功。” | rex field=_raw "用户[\":] (?[^\"IP] )"| 评估用户=上层（用户）| 表用户 | 按用户统计计数

在此先感谢您的帮助。J

我正在寻找展示如何从 React JS 16+ 应用程序将日志消息写入 Splunk 的示例。 Splunk 在其文档中有一个 TypeScript 片段，但我有兴趣了解其他人如何将其绑定到 React 框架中，以便正确配置和初始化所有内容以在应用程序中使用。

注意：我考虑过将 log4js 与 Splunk 的自定义附加程序一起使用，但也没有找到任何示例！

我的用例是提供每天特定错误（按特定模式搜索）的计数，并提供此类“错误”请求相对于每天处理的请求总数（不使用错误模式搜索）的百分比。无法为其形成适当的查询。基本查询是 -

获取每天的总计数：

index=my_index | bucket _time span=day | stats count by _time

只获取每天的错误：

index=my_index "Error-Search-Pattern" | bucket _time span=day | stats count by _time

如何合并两个计数以并排显示并显示错误：总百分比？

提前致谢。

我是 splunk 的新手。我有这个 json：

"request": {
    "headers": [
        {
            "name": "x-real-ip",
            "value": "10.31.68.186"
        },
        {
            "name": "x-forwarded-for",
            "value": "10.31.68.186"
        },
        {
            "name": "x-nginx-proxy",
            "value": "true"
        }

当属性名称具有“x-real-ip”值时，我需要选择一个值。

在 Splunk 中，我尝试提取 JSON 结构的“标签”元素内的键值对，以便每个键值对成为一个单独的列，以便我可以搜索它们。例如 ：

| spath data | rename data.tags.EmailAddress AS Email

但这并没有帮助，电子邮件字段为空。我正在尝试对所有标签执行此操作。有什么想法/指示吗？

{
    "timestamp": "2021-10-26T18:23:05.180707Z",
    "data": {
        "tags": [
            {
                "key": "Email",
                "value": "john.doe@example.com"
            },
            {
                "key": "ProjectCode",
                "value": "ABCD"
            },
            {
                "key": "Owner",
                "value": "John Doe"
            }
        ]
    },
    "field1": "random1",
    "field2": "random2"
}

我正在尝试在splunk中安装 “R Analytics”（我使用的是 Windows 10（64 位）操作系统）。

我在 splunk 中安装了“R Analytics”应用程序，在 R 中安装了“OpenCPU”包。不幸的是，脚本编辑器中的“运行”按钮不起作用。我还发现“runrdo”命令也是未知的，但“runrdo”位于splunk的“commandsconf”中。如何解决这个问题？我添加了一些照片以确保所有东西都安装正确。

1. 首先安装“OpenCPU”包并运行“opencpu::ocpu_start_server()”

2. 安装“R Analytics”(r-analytics_101.tgz) splunk

“R 项目”如下所示：

现在我正在尝试使用脚本编辑器

我可以看到 splunk 可以向 Rstudio 发送请求（正确显示已安装的软件包）

但不幸的是，RUN按钮不起作用。

当我想使用“runrdo”时：

但它在“commandsconf”中

https://community.splunk.com/t5/Getting-Data-In/connecting-Rest-API-from-R/mp/204018的示例代码适用于 R 版本 4.1.1 (2021-08-10)和 Splunk 版本 8.2.3。

我发现安装步骤没有任何问题。我认为问题在于 python 2.7 和 python 3.7 之间的区别。Splunk R-app 太旧了，是用 python 2.7 编写的。Splunk 的最新版本使用 python 3.7。我安装了Splunk 7.3.9（使用python 2.7），https://download.splunk.com/products/splunk/releases/7.3.9/windows/splunk-7.3.9-39a78bf1bc5b-x64-release.msi，除“运行”按钮之外的所有功能都可以正常工作，如下所示：