問題タブ [splunk]

次の行のCMDという単語の後に（）で表示されているコマンドを抽出する必要があります。

splunkはそれしか理解できないので、これには正規表現を使用する必要があります。

セミコロンのファイルがあります; 区切りテキスト ファイル。splunk でインデックス化されています。

「pqr」を検索すると、1 行しか表示されないはずです。現在、次の行「mnp」も表示されています。ファイルにはタイムスタンプがなく、splunk はまだ日時で行をグループ化しています。たとえば、上記のすべての行は、06/09/2011 19:01:17.000 の下にグループとしてリストされています。

セミコロンで区切られたファイルから検索するときに 1 行だけを返すにはどうすればよいですか?

したがって、問題は次のようになります-

1. $ python script.pync を使用して、my の出力を TCP ポートにリダイレクトします。
2. ポートをリッスンしているデータをリモートでキャプチャします。
3. nc を使用してこのポート番号のストリームをリモートでリッスンすると、データは適切にリダイレクトされます。
4. Splunk でポートをリッスンするためにデータ入力に追加すると、データが取得されません (syslog や tornado からのログはありません)。
5. また、Splunk で検索タブを押しても、データ ソースには何も追加されません (すべてビジュアル)。
6. ファイルを使用し、nc を使用してポート出力をこのファイルにリダイレクトし、そのファイルを Splunk のソースとして使用すると、完全に機能します。

ポイント 6 のように、ログを一時ファイルと Splunk に重複して保存することで結果を取得していましたが、これは望ましくありません。ポイント 4 によると、Splunk が TCP ポートをリッスンしているときにデータが直接表示されません。

助けてください。

Splunkでのサマリーインデックスは、多くのpsrsvd_*フィールドを生成します。彼らは何の略ですか？頭字語や略語だと思います。sistats avg(bytes) by clientipapache（ie ）によってログに記録された、クライアントIPごとに返されるバイト数を平均する場合のいくつかの例を次に示します。

• psrsvd_ct_bytes
• psrsvd_gc
• psrsvd_nc_bytes
• psrsvd_sm_bytes
• psrsvd_ss_bytes
• psrsvd_v
• psrsvd_vt_bytes

リモートUNIXサーバーにあるログファイルでSplunkを設定する方法。

通常、私はパテにLinuxサーバーにログインし、そこから別の会社のサーバーにSSHで接続し、ディレクトリをナビゲートし、主にcat、zcatなどとしてgrepフィルターを使用して操作を実行します。元：

• 1）パテからexample_serverにログインします
• 2）sshからssh_serverへ
• 3）cd to req dir
• 4）猫などを演じる、

ところで、ssh_serverはパテから直接ログインすることを許可しません。最初にexample_serverにログインし、次にssh_serverにログインする必要があります。

ここで、grepを使用するときに、splunkが文字列を検索するために使用するようにこれらのログファイルを構成するにはどうすればよいですか。ラップトップにsplunkをインストールし、[データの追加]>[ファイルとディレクトリ]>[新規追加]をクリックすると、データフィールドへのフルパスが表示されます。パスを入力する必要がありますか？

Splunkを使用していくつかのサーバーからIISログファイルを解析しています。すべてのサーバーでIISに同じフィールドが設定されており、すべてのサーバーで同じバージョンのWindows2003サーバーが実行されています。ただし、同じサーバーからでも、これらのログファイルのソースタイプを「iis」、「iis-2」、または「iis-3」にsplunkタグ付けします。パターンが見つからないようです。splunkがすべてのログファイルに同じタイプのタグを付けるようにするにはどうすればよいですか？

別の質問は、一部のログファイルでは、splunkがクエリ文字列フィールドのすべてのキー/値を自動的に抽出するのに対し、一部のログファイルでは抽出しないことです...インデックス時にクエリ文字列のキー/値を解析するためにsplunkが必要ですそのため、検索時間中は高速になります。

誰か助けますか？

ありがとう

Splunkを使用して、同じ名前の複数のフィールドを持つログにインデックスを付けています。すべてのフィールドの意味は同じです：2012-02-22 13：10：00、ip = 127.0.0.1、to = email1 @ example.com、to = email2 @ example.com

このイベントの自動抽出では、「to」フィールドに対して「email1@example.com」のみが抽出されます。すべての値が抽出されていることを確認するにはどうすればよいですか？

ありがとう！

splunk で DNS quire の CNAME を引き出す正規表現を作成しようとしています。最初の DNS 名を取得できます ("CNAME-record for " の後と ( "=" ) の前のすべて)。ただし、等号の後に次の DNS 名を取得する式が見つかりません。

Splunkを使用してHerokuログをTCP経由で受信しています。Herokuは、これらのログを次のようにフォーマットします。

nginxプロセスの場合、ログは次のように出力されます。

Splunkのデフォルトのアクセス抽出フィールド変換を使用してこれらのログを処理したいと思います。他の変換を参照する他の組み込み変換のいくつかを見て、これを新しい変換の正規表現として試しました。

ただし、[保存]をクリックすると、次のようになります。

保存しようとしたときに次のエラーが発生しました：ハンドラー内'transforms-extract'：正規表現：文字クラスの範囲が正しくありません

フィールド変換内から他のフィールド変換を参照するための構文は何ですか？これは私がやろうとしていることをするための最良の方法ですか？

私にはタスクがあります。ユニバーサルフォワーダーをインストールせず、代わりに Java のみを使用する可能性を調査します。REST API (java sdk) で許可できますか?