問題タブ [splunk-query]

合計を表示するために使用したい Splunk の列があります。合計列の数値の前にドル記号 ($) を表示したいと思います。

これが私のクエリです：

UnBlendedCost 列の数値の前にドル記号を付けて表示するにはどうすればよいですか?

Splunk Universal フォワーダーを使用して、特定のサーバーからログを削除できますか。

たとえば、アプリケーションが実行されているサーバーにユニバーサル フォワーダーをインストールしています。UF の目的は、このアプリケーションのログを監視目的で splunk サーバーに送信することです。ただし、このアプリケーションには負荷の問題があり、ログのローテーションを配置する必要があります。そうしないと、サーバーがシャットダウンします。ログのローテーションを設定する従来の方法があることは知っていますが、Splunk UF を使用して、データをコピーしてインデックスを作成する代わりに、ソース サーバーからログを削除してからインデックスを作成できますか?

さらに説明が必要な場合はお知らせください。

私はsplunkダッシュボードに取り組んでいます。以下はサンプルテーブルとクエリです

index="myindex" message=" ApiImpl " "succeed=true" | rex field=message "execution_time=(?.*)" | 表メソッド response_time | stats avg(response_time) as "avg", min(response_time) AS "min", max(response_time) As "max" by method

更新行の 189 をクリックすると、結果テーブルが表示されます。新しいウィンドウまたは同じウィンドウで、method=update および response_time=189 とともに同じ検索を開く必要があります。表は単純なので、わかります。しかし、特定のセルをクリックすると、選択したフィルターで開く必要があるテーブルが非常に大きくなります。

新しい検索結果は次のように開きます。または、最大応答時間 189 を取っている update メソッドでログ イベントを直接開く必要があります。

新しい検索を取得するクエリやテーブル オプションなどの方法を教えてください。

すべての値が次の形式のフィールドがあります。

知識:xyz、id:2907129

ID 番号は常に変化しますが、必要なのは xyz の値だけです。

以下を使用して「知識:」を削除しました。

id 部分について、「,id*」を使用すると、eval replace 関数内で機能しませんでした。