我们在https://splunkit.corp.company.com 中部署了 Splunk (网址已修改)。
并且能够访问https://splunkit.corp.company.com/en-US/app/launcher/home上的 Splunk Web 主页(网址已修改)。
我正在构建一个仪表板应用程序,它使用 Splunk REST 服务提供的 JSON 数据。
从上面的链接我知道了
我需要使用用户名和密码向 services/auth/login 发出 post 请求。这将返回会话密钥,该密钥将用于进一步的 API 调用。
必须向服务/搜索/工作发出发布请求以创建搜索。这将返回搜索 ID。
我需要检查 services/search/jobs/ 以完成搜索。
如果搜索完成,那么我可以使用 services/search/jobs//results 检索结果。
我面临的问题是我不知道基本 URL 是什么。我尝试构建https://splunkit.corp.company.com/en-US/services/auth/login等,但无法正常工作。
任何帮助表示赞赏。谢谢
我们目前正在寻找一种使用 splunk 查找给定事件类型的“唯一”请求数量的方法。就像点击 404 的用户数量一样,但我不在乎用户是否点击了两次或 10 次,我只想要出现该错误的用户数量。有没有办法用 splunk 做到这一点?
我想在splunk中使用查询,提取字段列表,然后使用这些结果字段来进一步过滤我后续的splunk查询.我该怎么做呢?
splunk与GMSServices冲突,导致应用程序崩溃.如果我启动splunk会话GMSPicker崩溃应用程序并显示.
func application(application: UIApplication, didFinishLaunchingWithOptions launchOptions: [NSObject: AnyObject]?) -> Bool {
Mint.sharedInstance().initAndStartSession("XXXX");
GMSServices.provideAPIKey("XXXX");
}
- [SplunkNSURLSessionDataDelegateInterceptor setSession:]:无法识别的选择器发送到实例0x7fb2f30e4380
我从网站(http://dev.splunk.com/sdks)下载了Splunk Java SDK,并尝试在jdk1.8.0_91(Windows 10)下运行它。但是我越来越例外了。我该如何运作?
"C:\Program Files\Java\jdk1.8.0_91\bin\java" -Didea.launcher.port=7537 "-Didea.launcher.bin.path=C:\Program Files (x86)\JetBrains\IntelliJ IDEA Community Edition 2016.1.3\bin" -Dfile.encoding=UTF-8 -classpath "C:\Program Files\Java\jdk1.8.0_91\jre\lib\charsets.jar;C:\Program Files\Java\jdk1.8.0_91\jre\lib\deploy.jar;C:\Program Files\Java\jdk1.8.0_91\jre\lib\ext\access-bridge-64.jar;C:\Program Files\Java\jdk1.8.0_91\jre\lib\ext\cldrdata.jar;C:\Program Files\Java\jdk1.8.0_91\jre\lib\ext\dnsns.jar;C:\Program Files\Java\jdk1.8.0_91\jre\lib\ext\jaccess.jar;C:\Program Files\Java\jdk1.8.0_91\jre\lib\ext\jfxrt.jar;C:\Program Files\Java\jdk1.8.0_91\jre\lib\ext\localedata.jar;C:\Program Files\Java\jdk1.8.0_91\jre\lib\ext\nashorn.jar;C:\Program Files\Java\jdk1.8.0_91\jre\lib\ext\sunec.jar;C:\Program Files\Java\jdk1.8.0_91\jre\lib\ext\sunjce_provider.jar;C:\Program Files\Java\jdk1.8.0_91\jre\lib\ext\sunmscapi.jar;C:\Program Files\Java\jdk1.8.0_91\jre\lib\ext\sunpkcs11.jar;C:\Program Files\Java\jdk1.8.0_91\jre\lib\ext\zipfs.jar;C:\Program Files\Java\jdk1.8.0_91\jre\lib\javaws.jar;C:\Program Files\Java\jdk1.8.0_91\jre\lib\jce.jar;C:\Program Files\Java\jdk1.8.0_91\jre\lib\jfr.jar;C:\Program Files\Java\jdk1.8.0_91\jre\lib\jfxswt.jar;C:\Program Files\Java\jdk1.8.0_91\jre\lib\jsse.jar;C:\Program Files\Java\jdk1.8.0_91\jre\lib\management-agent.jar;C:\Program Files\Java\jdk1.8.0_91\jre\lib\plugin.jar;C:\Program Files\Java\jdk1.8.0_91\jre\lib\resources.jar;C:\Program Files\Java\jdk1.8.0_91\jre\lib\rt.jar;C:\Users\vitalii\Downloads\splunk-sdk-java-1.5.0\out\production\examples;C:\Users\vitalii\Downloads\splunk-sdk-java-1.5.0\out\production\splunk;C:\Users\vitalii\Downloads\splunk-sdk-java-1.5.0\lib\gson-2.2.4.jar;C:\Users\vitalii\Downloads\splunk-sdk-java-1.5.0\lib\opencsv-2.3.jar;C:\Users\vitalii\Downloads\splunk-sdk-java-1.5.0\lib\org-openide-explorer.jar;C:\Users\vitalii\Downloads\splunk-sdk-java-1.5.0\lib\org-openide-util.jar;C:\Users\vitalii\Downloads\splunk-sdk-java-1.5.0\lib\org-openide-nodes.jar;C:\Users\vitalii\Downloads\splunk-sdk-java-1.5.0\lib\org-openide-util-lookup.jar;C:\Users\vitalii\Downloads\splunk-sdk-java-1.5.0\lib\org-openide-awt.jar;C:\Users\vitalii\Downloads\splunk-sdk-java-1.5.0\lib\org-openide-dialogs.jar;C:\Users\vitalii\Downloads\splunk-sdk-java-1.5.0\lib\org-openide-actions.jar;C:\Users\vitalii\Downloads\splunk-sdk-java-1.5.0\lib\org-openide-filesystems.jar;C:\Users\vitalii\Downloads\splunk-sdk-java-1.5.0\out\production\util;C:\Users\vitalii\Downloads\splunk-sdk-java-1.5.0\lib\commons-cli-1.2.jar;C:\Program Files (x86)\JetBrains\IntelliJ IDEA Community Edition 2016.1.3\lib\idea_rt.jar" com.intellij.rt.execution.application.AppMain com.splunk.examples.search.Program "index=alpo-dev 12345"
java.lang.RuntimeException: No appropriate protocol (protocol is disabled or cipher suites are inappropriate)
at com.splunk.HttpService.send(HttpService.java:409)
at com.splunk.Service.send(Service.java:1293)
at com.splunk.HttpService.post(HttpService.java:308)
at com.splunk.Service.login(Service.java:1122)
at com.splunk.Service.login(Service.java:1101)
at com.splunk.Service.connect(Service.java:187)
at com.splunk.examples.search.Program.run(Program.java:117)
at com.splunk.examples.search.Program.main(Program.java:54) …我目前有一个查询聚合过去一小时内的事件,并在事件超过特定阈值时提醒我的团队。该查询最近被意外禁用,结果有时警报应该触发但没有触发。
我的目标是将这个警报查询逻辑应用到上个月,并确定警报会触发多少次,如果它起作用的话。但是,我很难弄清楚如何最好地对这些进行分组。在伪代码中,我基本上我会(运行超过 30 天的时间范围):
index="some_index" | where count > n | group by hour
希望这是有道理的,如果不是,我很高兴提供一些说明。
提前致谢
我正在尝试使用alpine:3.8基本映像创建 Splunk 通用转发器映像。
FROM alpine:3.8
ENV SPLUNK_PRODUCT universalforwarder
ENV SPLUNK_VERSION 6.3.1
ENV SPLUNK_BUILD f3e41e4b37b2
ENV SPLUNK_FILENAME splunkforwarder-${SPLUNK_VERSION}-${SPLUNK_BUILD}-Linux-x86_64.tgz
ENV SPLUNK_SERVER_HOST testapp:9997
ENV SPLUNK_HOME /opt/splunk
ENV SPLUNK_GROUP splunk
ENV SPLUNK_USER splunk
ENV SPLUNK_BACKUP_DEFAULT_ETC /var/opt/splunk
ENV SPLUNK_INDEX test
ENV FORWARD_HOSTNAME InstanceId
# Here we install GNU libc (aka glibc) and set C.UTF-8 locale as default.
RUN apk --no-cache add ca-certificates wget \
&& wget -q -O /etc/apk/keys/sgerrand.rsa.pub https://alpine-pkgs.sgerrand.com/sgerrand.rsa.pub \
&& wget https://github.com/sgerrand/alpine-pkg-glibc/releases/download/2.28-r0/glibc-2.28-r0.apk \
&& apk add glibc-2.28-r0.apk \
&& rm -rf …我在 Kubernetes 中使用 fluent-bit 将日志转发到 Splunk。我们将为多个 Kubernetes 集群使用相同的 Splunk 索引,所以我想用它来自的集群标记从 fluent-bit 转发的每个事件。
我尝试使用修改功能在事件中“添加”或“设置”一个新字段。
fluent-bit-filter.conf: |-
[FILTER]
Name kubernetes
Match kube.*
Kube_Tag_Prefix kube.var.log.containers.
Kube_URL https://kubernetes.default.svc:443
Kube_CA_File /var/run/secrets/kubernetes.io/serviceaccount/ca.crt
Kube_Token_File /var/run/secrets/kubernetes.io/serviceaccount/token
K8S-Logging.Parser On
K8S-Logging.Exclude On
Add cluster devcluster
我实际收到的示例日志(缺少新添加的字段“集群”)
[305] kube.var.log.containers.calico-node-xzwnv_kube-system_calico-node-a4a6a2261a76ec419e9cf13ae39732b3e918726573cf1a0dece648e679011578.log: [1565578883.799679612, {"log"=>"2019-08-12 03:01:23.799 [INFO][68] int_dataplane.go 830: Received interface update msg=&intdataplane.ifaceUpdate{Name:"cali5d1a7318787", State:"up"}
Splunklib因为Python 3.7无法在我的 Windows 机器上安装。由于pycrypto未移植到Python 3,我已将其卸载并安装pycrypodome为替代品。不幸的是,在尝试安装时splunklib,pip仍会尝试安装pycrypto.
*Installing collected packages: pycrypto, splunklib
Running setup.py install for pycrypto ... *
有没有办法强制Python或pip使用pycryptodome而不是pycrypto?
在我工作的地方,他们只是切换到 splunk,但我只需要原始日志文件,这样我就可以在 notepad++ 中使用它进行调试。所以我的问题是我可以从 splunk 获取原始日志文件吗?我不需要 splunk 的任何“功能”,我只需要原始日志文件。那么我怎样才能得到它。
splunk ×10
logging ×3
c# ×1
conflict ×1
fluent-bit ×1
gmsplace ×1
java ×1
kubernetes ×1
pycrypto ×1
pycryptodome ×1
python ×1
python-3.7 ×1
rest ×1
splunk-query ×1