問題タブ [splunk-sdk]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
splunk - 複数値フィールドから一致する文字列のみを抽出し、SPLUNK クエリの新しい列に表示する方法
複数値フィールドから一致する文字列を抽出し、別の列に表示しようとしています。フィールドを区切り文字で分割し、mvexpand を使用してから、where/search を使用してそれらのデータを取得するさまざまなオプションを試しました。SPLUNK クエリでこの手間をかけずにこれを行う簡単な方法があるかどうかを見つけようとしていました。
例:複数値 column1 フィールドの下に、データが区切りコンマで区切られているとします。
column1 = abc1,test1,test2,abctest1,mail,send,mail2,sendtest2,new,code,results
区切り文字を使用してこの列を分割し、|eval column2=split(column1,",")regex/where/search を使用し*test*てこの列でデータを検索し、結果を返すことができましたが、結果を取得できましたが、column1 にはまだすべての値が表示abc1,test1,test2,abctest1,mail,send,mail2,sendtest2,new,code,results されています。column1と一致する単語のみを表示するか、新しいcolumn2testのエントリを表示します。test1,test2,abctest1,sendtest2*test*
よろしくお願いします。
python - 結果をカスタム インデックスに保存するための Splunk アドオン ビルダー アラート アクション
アラートに基づいてイベント結果を収集し、それを API エンドポイントに送信するアドオンに取り組んでいます。応答が成功すると、エンドポイントは成功メッセージを JSON 形式で返します。これをカスタム インデックスとソースタイプに保存したいと考えています。
以下のコードを使用してみましたが、データはカスタム インデックスではなくメイン インデックスに書き込まれます。Splunk アドオン ビルダーを介してアラート アクション ビルドのカスタム インデックスにイベントを書き込む方法はありますか?