标签: splunk

如何重置splunk管理员密码？我想我需要访问运行Splunk的文件系统才能修改密码文件.它不使用数据库,所以我需要更改文件/变量吗？

我使用Splunk非常新,并且有一个非常基本的问题.是否可以使用REST API在不使用已保存的搜索的情况下查询Splunk？

谢谢.

我们ifnull在一个Splunk查询中使用了该函数（是，ifnull不是isnull），我只是想确定一下逻辑，但是找不到任何地方的文档。

它在几个地方被引用：

• SPL数据类型和子句
• 评估
• 哪里

但是我无法在其实际作用的任何地方找到定义/解释。Google似乎也没有帮助（始终希望将我重定向到isnull）。

特别是它也未列在“ 通用评估功能 ”中。

谁能指出我有关的一些文档ifnull？

我正在调用splunk,然后我尝试使用ResultsReaderJson类来获取结果.

InputStream results = jobSavedSearch.getResults();
ResultsReaderJson resultsReader = new ResultsReaderJson(results);

而且我一直收到这个错误.

com.google.gson.stream.MalformedJsonException: Use JsonReader.setLenient(true) to accept malformed JSON at line 1 column 6

我没有从这个类访问JsonReader.有没有人对我能做些什么来解决这个问题？

我无法找到适合Splunk的架构图.我试着寻找Splunk的架构图,但我无法找到适当的解释.

我正在寻找关于splunk的一些数据,持续5分钟的时间范围.我希望这个查询在splunk上每隔5分钟运行一次.如何才能做到这一点？我尝试在splunk上找到它,但我能看到的是如何安排警报和报告.在激活查询后,我们如何访问查询生成的结果？

我试图找到将字典列表转换为numpy数组的最佳方法(用NULL填充缺失值).我还需要相反的方法:将numpy数组数组转换为字典列表(给定键的标题).

问题: Python字典没有排序.在处理大量行时,理解列表不是最佳选择.

例:

listOfDicts = [{'key1': 10, 'key2': 15, 'key3': 19},
               {'key1': 20, 'key2': 25, 'key3': 29},
               {'key1': 30, 'key2': 35, 'key3': 39},
               {'key1': 40, 'key2': 45, 'key3': 49}]

预期产量:

[[10 15 19]
 [20 25 29]
 [30 35 39]
 [40 45 49]]

为什么我需要这个:我需要这个,因为我正在将Python脚本集成到Splunk搜索中.Splunk的输入是一个字典列表,由返回splunk.Intersplunk.getOrganizedResults().并显示我们需要调用的输出,splunk.Intersplunk.outputResults(results)其中results也是一个字典列表

我有一个非常简单的timechart查询：

index="myIndex" "searchText"
| timechart span=1d

Splunk 日志采用 UTC 格式，但我需要图表来显示当地时间的数据。

我已将以下包含 JSON 行的示例文件加载到 Splunk 中：

{"duration":2134,"input":["foo","bar"],"level":"info","msg":"Processed input","time":"2022-04-07T08:10:23.14427-07:00"}
{"duration":997,"input":["baz"],"level":"info","msg":"Processed input","time":"2022-04-07T08:10:23.144526-07:00"}

Splunk has parsed these fields such that the input field is a list: I would like to generate a table of the length of (number of elements in) the input and the duration field. Following https://docs.splunk.com/Documentation/StreamProcessor/standard/FunctionReference/List#length.28input.29, I've tried

msg="Processed input" 
| eval N=length(input) 
| table N, duration

but this yields no values for N:

What would be the correct way to determine N?

我正在尝试将微米度量数据发送到 Splunk。每个指标端点都提供指标的当前值，因此我需要 Splunk 定期向我的应用程序发送 http 请求，或者我可以定期将指标值写入日志文件。

那么如何让我的应用程序将指标值写入日志呢？