我对 Splunk 非常陌生,基本上已经陷入了困境!对语言也很陌生,所以下面的任何帮助和提示都会很棒。
我想要得到的结果是加入查询并获取用户名、ID 和登录次数。
查询来自 diff 源、源类型和主机。
查询 1 是用户名和 ID,查询 2 是用户名和登录次数。
查询1:userName=” ”entityNumber=” ” | eval 用户名=upper(用户名) | 重复数据删除用户名、实体编号 | 将用户名重命名为 User | 表用户,实体编号
查询2:“登录成功。” | rex field=_raw "用户[\":] (?[^\"IP] )"| 评估用户=上层(用户)| 表用户 | 按用户统计计数
在此先感谢您的帮助。J
splunk splunk-query splunk-calculation splunk-formula splunk-sdk