問題タブ [splunk]

私にはタスクがあります。ユニバーサルフォワーダーをインストールせず、代わりに Java のみを使用する可能性を調査します。REST API (java sdk) で許可できますか?

log4j ログを Splunk に送信する必要があります。私はいくつかの解決策を見つけました：

1. REST API を使用するには (例curl -k -u admin:changeme -d "name=/tmp/myfile.log" -d "sourcetype=syslog" https://localhost:8089/servicesNS/admin/search/data/inputs/monitor)
2. Splunk Universal Forwarder をインストールする

3. 次のような log4j アペンダーを使用します。

   Syslog アペンダー

   log4j.appender.splunk=org.apache.log4j.net.SyslogAppender log4j.appender.splunk.SyslogHost=localhost:8089 log4j.appender.splunk.layout=org.apache.log4j.PatternLayout log4j.appender.splunk.facility=LOCAL2 log4j.appender.splunk.layout.ConversionPattern=[%p] %t: %m%n

しかし、splunk サーバーとログが別のマシンにある場合、3 番目のソリューションは機能しないように思えます。

2 番目の解決策では、追加のソフトウェアをインストールする必要があります

誰でも他の解決策を提案できますか?

PSオープンソースのJavaライブラリを使用しようとしました。しかし、結果は出ませんでした。

Splunk は初めてです。わずか3日間です。フィールド化されたデータとフィールド化されていないデータの形式の生データのインデックス作成と検索に Lucene を使用しています。Lucenes の検索パフォーマンスには非常に感銘を受けました。エクスペリエンス コミュニティが、splunk のいくつかの機能についてここで私を案内してくれるかどうか疑問に思っていました。具体的には、Lucene について私がすでに知っていることに関して、splunk を比較します。検索に限らず。

• Splunk はストップ ワードをどのように処理しますか? a,the,is... などの非常に一般的な単語は、手動で lucene に提供できます。

• Splunk はワイルドカード検索、近接検索、正規表現検索を実行しますか? フィールド検索ができることはわかっています。

• インデックスの最適化。特に圧縮。

• splunk であいまいな類義語ベースの検索を行うことはできますか?

  これは長い質問になるに違いありませんが、Splunk の経験豊富な人々からいくつかのポイントを知りたいと思っています。

ありがとうございました。

現在ミリ秒単位で抽出されたフィールドをSplunkにHH：MM：SSに変換させる方法を誰かに提供してもらえますか？

各ホストの最新のイベントタイムスタンプを取得しようとしています。Google検索は以下のとおりです。

|メタデータタイプ=ホスト| テーブルホスト、lastTime

動作しているようで、ホストとタイムスタンプが返されましたが、タイムスタンプは大きな整数です。現地時間に変換するにはどうすればよいですか？

また、特定のホストのみを返すようにフィルタリングするにはどうすればよいですか？

ありがとう。

Java Rest api sdkを使用して、Splunkの検索アプリからイベントを取得しています。検索時にsplunk_serverというフィールドを取得し、その値を設定しました。次に、ログメッセージをキーと値のペアのパターンでフォーマットしようとしました。例えば。splunk_server=remoteserver。splunkに追加された新しいイベントに表示するように設定したsplunk_serverの値が必要でした。しかし、代わりにデフォルト値が表示されました。

splunk_serverの値を設定し、新しいイベントを追加するたびにSplunkサーバーで設定した値を表示する方法はありますか？

2 つの異なるログからの情報を 1 つのクエリに結合しようとしていますが、それができるかどうか、またはその方法がわかりません。基本的に私はこれをしたい：

私がやろうとしているのは、バージョン == 10 のすべてのユーザーの速度に関する統計を収集することです。

私が読んだことから、 userId == fooid のエイリアスを作成すると、次のように言うことで可能になる可能性があります。

ただし、すべての userId が fooid であるとは限らないという問題がまだあります。したがって、ログ 1 に fooid フィールド エイリアスを作成できるようにしたいと考えていますが、それは client=foo の場合のみです。これは可能ですか?もしそうなら、どうすればできますか?

また、この検索を実行する別の方法があれば、大いに感謝します。

logback フレームワークを使用している場合に、Splunk の REST レシーバー エンドポイントを使用して新しいイベントを作成する場合、どの Logback アペンダーを使用する必要がありますか。そのためのカスタム基本アペンダーを作成したいですか？ソケットアペンダーですか？

Splunk でビューを構築していて、タイムチャートを表示したいと考えています。ただし、splunk のデフォルトではなく、過去 24 時間のデータのみを表示したいと考えています。どうすればいいですか？

検索を行っているときは、ページの上部で期間を選択できますが、ダッシュボード チャートを作成するときには使用できません。

プログラムで ssh 経由でローカル スクリプトを実行するのに問題があります。
これがローカル ホストでのシェル変数の置換に問題があるかどうかはわかりません。

手動で実行する場合、

期待される出力が得られます。

CPU pctUser pctNice pctSystem pctIowait pctIdle
すべて 11.21 0.00 1.50 0.31 86.98
0 0.00 0.00 0.00 0.00 100.00
1 3.00 0.00 1.00 0.00 96.00 ....

しかし、私は得る

bash: /u02/splunk/splunk/etc/apps/Splunk_TA_nix/bin/cpu.sh: そのようなファイルまたはディレクトリはありません

次のコードを実行すると、

これらは印刷された出力です。

/usr/bin/ssh monit@server1 'bash -s' < /u02/splunk/splunk/etc/apps/Splunk_TA_nix/bin/cpu.sh
最初の pexpect コマンド出力: 1
bash: /u02/splunk/splunk/etc/ apps/Splunk_TA_nix/bin/cpu.sh: そのようなファイルまたはディレクトリはありません

pexpect が [pP]assword 行にぶつかっているので、パスワードが正しく渡されていると思います。