标签: splunk

我有两个单独的splunk查询：第一个查询：最近24小时内输出唯一用户数第二个查询：最近24小时内以geo =美国输出唯一用户数

我想创建一个时间表，显示一个折线图，其中包含每天来自美国的用户百分比。

如何做到这一点。

我们的Web应用程序发送电子邮件.我们有很多用户,我们获得了很多反弹.例如,用户更改公司及其公司的电子邮件不再有效.

要查找退回,我使用日志解析器解析SMTP日志文件.日志来自Microsoft SMTP服务器.

一些反弹很棒,比如550+#5.1.0+Address+rejected+user@domain.com.有user@domain.com反弹.

但有些人没有收到错误消息的电子邮件,比如550+No+such+recipient.

我创建了简单的Ruby脚本来解析日志(使用日志解析器)来查找导致类似的邮件550+No+such+recipient.

我很惊讶我找不到一个能够做到这一点的工具.我找到了像Zabbix和Splunk这样的工具来进行日志分析,但是对于这样简单的任务来说,它们看起来有些过分.

有人知道一个工具可以解析SMTP日志,找到导致它们的退回和电子邮件吗？

你好有人知道怎么读.evt /.evtx这是Windows事件日志文件读取不使用提供的api,我想用FILE I/Oapis 读取它们C/C++.

或者如何将这些文件转换成.txt,我知道splunk这样做但不确定他们是如何做到这一点的.

我已经配置了一个Apache服务器,根据下面的配置为我们的Splunk安装提供SSO和反向代理.SSO与反向代理一样,隐藏在/ splunk URL后面的端口8000上运行的Splunk实例.

ProxyPass /splunk http://localhost:8000/splunk
ProxyPassReverse /splunk http://localhost:8000/splunk
<Location /splunk >
        # Kerberos Authentication
        AuthType Kerberos
        AuthName "Kerberos Login"
        KrbAuthRealms MYDOMAIN.COM
        Krb5KeyTab /etc/krb5.http.keytab
        KrbMethodNegotiate on
        KrbAuthoritative on
        KrbMethodK5Passwd off
        KrbLocalUserMapping on
        KrbSaveCredentials on
        require valid-user

        # SSO
        RewriteEngine On
        RewriteCond %{LA-U:REMOTE_USER} (.+)$
        RewriteRule . - [E=RU:%1]
        RequestHeader set REMOTE_USER %{RU}e
</Location>

问题出在Apache日志中我收到了很多以下错误消息.

[client x.x.x.x] Request exceeded the limit of 10 subrequest nesting levels due to probable confguration error. Use 'LimitInternalRecursion' to increase the limit if necessary. Use 'LogLevel debug' …

据我所知,Splunk不需要MySQL数据库提供的大量功能,并且对大数据进行索引和执行搜索,使用关系数据库可能不是一个好选择.

Splunk是否使用Lucene作为搜索引擎,还是让他们制作了磁盘数据格式？

如果我提出问题的方式有任何问题,我很抱歉.这是我关于Stack Overflow的第一个问题.

我想知道查询的计数。查询是

sourcetype="cargo_dc_shipping_log" OR sourcetype="cargo_dc_deliver_log" | stats count by X_REQUEST_ID | sort - count

因此，您可以看到存在多个值为3的行。

提前致谢

我有多个使用Cron驱动的调度策略运行的GetSplunk处理器.Cron表达式看起来像'0 30 13**？'.它们都在第一次运行时成功执行查询.但是,第二天它因Splunk的401错误而出错.来自nifi-app.log的错误如下.NiFi中的Cron调度程序是QuartzScheduler.

WARN [Timer-Driven Process Thread-7] o.a.n.c.t.ContinuallyRunProcessorTask Administratively 
Yielding GetSplunk[id=01581009-026c-114b-5e2e-401ebea6427d] due to uncaught Exception: 
com.splunk.HttpException: HTTP 401 -- call not properly authenticated
2016-12-21 13:30:00,300 WARN [Timer-Driven Process Thread-2] o.a.n.c.t.ContinuallyRunProcessorTask
com.splunk.HttpException: HTTP 401 -- call not properly authenticated
at com.splunk.HttpException.create(HttpException.java:84) ~[na:na]
at com.splunk.HttpService.send(HttpService.java:452) ~[na:na]
at com.splunk.Service.send(Service.java:1293) ~[na:na]
at com.splunk.HttpService.get(HttpService.java:165) ~[na:na]
at com.splunk.Service.export(Service.java:222) ~[na:na]
at com.splunk.Service.export(Service.java:237) ~[na:na]
at org.apache.nifi.processors.splunk.GetSplunk.onTrigger(GetSplunk.java:461) ~[na:na]
at org.apache.nifi.processor.AbstractProcessor.onTrigger(AbstractProcessor.java:27) ~[nifi-api-1.1.0-SNAPSHOT.jar:1.1.0-SNAPSHOT]
at org.apache.nifi.controller.StandardProcessorNode.onTrigger(StandardProcessorNode.java:1064) ~[nifi-framework-core-1.1.0-SNAPSHOT.jar:1.1.0-SNAPSHOT]
at org.apache.nifi.controller.tasks.ContinuallyRunProcessorTask.call(ContinuallyRunProcessorTask.java:136) [nifi-framework-core-1.1.0-SNAPSHOT.jar:1.1.0-SNAPSHOT]
at org.apache.nifi.controller.tasks.ContinuallyRunProcessorTask.call(ContinuallyRunProcessorTask.java:47) [nifi-framework-core-1.1.0-SNAPSHOT.jar:1.1.0-SNAPSHOT]
at    org.apache.nifi.controller.scheduling.QuartzSchedulingAgent$2.run(QuartzSchedulingAgent.java:165) [nifi-framework-core-1.1.0-SNAPSHOT.jar:1.1.0-SNAPSHOT]
at java.util.concurrent.Executors$RunnableAdapter.call(Executors.java:511) [na:1.8.0_101]
at java.util.concurrent.FutureTask.run(FutureTask.java:266) [na:1.8.0_101] …

有谁知道如何准确计算Splunk中的99.9%？

我尝试了如下各种方法，例如exactperc（但这只需要整数百分位数）和perc（但这非常接近结果）。

base | stats exactperc99(latency) as "99th Percentile", p99.9(latency) as "99.9th Percentile"

谢谢，詹姆斯

2018-06-20T00:04:35.000+00:00 (980) WAL Autocheckpointing, name=C:\Program 
Files\PriceService\data\documents.db
2018-06-20T00:07:16.000+00:00 (980) WAL Autocheckpointing, name=C:\Program 
Files\PriceService\data\store-promotions.db
2018-06-20T00:07:21.000+00:00 (980) WAL Autocheckpointing, name=C:\Program 
Files\PriceService\data\store-promotions.db
2018-06-20T00:07:26.000+00:00 (980) WAL Autocheckpointing, name=C:\Program 
Files\PriceService\data\store-promotions.db

我一直在尝试正确执行 splunk 查询，以便将这一事件拆分为多个事件，但由于某种原因，我无法正确执行查询。

我尝试在换行符上拆分，但结果集返回不变。我从网上阅读了解到我应该使用以下内容

myQuery | rex field=_raw "\[(?P<field1>...).*[\r\n]"

顺便说声抱歉。我的正则表达式游戏不强。

我想生成一个数字变量的简单直方图X。

我很难找到一个明确的例子。

由于直方图的意义比美观更重要，因此我更愿意指定 bin 大小而不是让工具来决定。请参阅：数据科学家：停止随机分箱直方图