随笔分类 - Splunk
摘要:创建连接 进入应用 DBConnect 新建认证信息,根据需要填入IdentityName, 根据数据提供方提供的信息填入用户名、密码,并给对应用户赋予读取权限。 新建连接,根据需要填入ConnectionName, 根据数据提供方提供的信息填入主机、端口、数据库类型、默认数据库, 选择Identi
阅读全文
摘要:1.进入Splunk转发器安装目录下的 local 文件夹,路径为:/etc/system/local/ 2.新建或修改配置文件 transforms.conf 新增内容如下: [TSNAME] REGEX = 正则表达式 DEST_KEY = queue FORMAT = nullQueue TS
阅读全文
摘要:创建索引 进入索引页面。 新建索引。 配置索引名称。 查看刚刚建好的索引。 查询刚刚建好的索引。 配置数据输入 进入数据输入页面。 这里以UDP类型的数据输入为例,新建。 配置服务器接收数据的端口号,可选覆盖来源名称,即默认字段 source 的值。 配置来源类型,即默认字段 sourcetype
阅读全文
摘要:1.运行安装包,安装Splunk转发器,所有配置默认,一路下一步直到安装完成。 2.将AD的APP文件夹Splunk_TA_windows拷贝到Splunk中, --路径为:Splunk安装目录/etc/apps 3.进入目录:Splunk安装目录/etc/system/local 4.新建或修改配
阅读全文
摘要:now() 当前 UNIX 时间。 strftime(X,Y) 取 UNIX 时间,并⽤⽤户可读格式呈现。 strptime(X,Y) 取⽤户可读时间,并⽤ UNIX 时间呈现。 示例: | eval now=strftime(now(),"%Y-%m-%d %H:%M:%S.Q") %Y 年 4位
阅读全文
摘要:定位配置文件,在Splunk安装目录下搜索文件 indexes.conf 在搜索到的文件中根据路径中对应的APP,选择要更改的索引所在的配置文件, 找到位于 local 目录下的 indexes.conf 配置文件, 注意不要动 default 目录下的配置文件。 在要自动清理的索引配置下添加 fr
阅读全文
摘要:语法符号说明 必要参数显⽰在尖括号 < > 中。 可选参数显⽰在⽅括号 [ ] 中。 table 在查询结果中只展示对应字段。 示例 | table 字段1,字段2,字段3 stats 将查询结果进行聚合统计,类似 SQL 中的 group 。 示例 | stats count by 字段1,字段2
阅读全文
摘要:原始数据 本例以Splunk自带的索引 _audit来演示,原始数据量如下: index="_audit" | stats count by user 准备临时数据 准备数据并保存为文件 testdata.csv 将数据导入Splunk 1.进入查找界面 2.新增查找 3.上载文件,填写文件名,保存
阅读全文
摘要:Splunk的索引器通过内部事件化处理机制,将传入的数据转换为事件,然后将其存储在索引内部的数据桶中。 索引器 索引器是用于创建和管理索引的组件,是Splunk数据存储的核心。 索引器的主要功能是: 1.为传入的数据创建索引。 2.搜索索引数据。 事件化处理 Splunk会对传入的数据进行事件化处理
阅读全文
摘要:概述 运算符通常与 where eval 等关键字同时使用。 为使这些计算正常运⾏,值对于运算类型⽽⾔必须有效。 例如,除了加法之外,如果值不是数字,则算术运算将不会⽣成有效的结果。 若对值进⾏连接,⽆论这些值为何,Splunk 软件都会读成字符串。 运算符 算术运算符: + - * / % 连接运
阅读全文
摘要:这些函数一般与 where eval 等关键字同时使用。 对⽐和条件函数 case(X,"Y",...) cidrmatch("X",Y) coalesce(X,...) false() if(X,Y,Z) in(VALUE-LIST) like(TEXT, PATTERN) match(SUBJE
阅读全文
摘要:效果:通过导航栏快速访问配制好的仪表板: 准备仪表板在仪表板页面按照业务需求新建仪表板,记录仪表板ID(后面会用到),并配置使用权限。这里创建一个ID为dhltest的仪表板 进入导航菜单页面点击 设置->用户界面->导航菜单 进入导航菜单页面。 选择导航菜单点击要修改的导航菜单名,进入编辑页面。
阅读全文
浙公网安备 33010602011771号