我正在使用java rest api sdk从Splunk的搜索应用程序中检索事件。我在搜索期间检索了名为splunk_server的字段,并为其设置了值。然后,我尝试将日志消息格式化为key=value对模式。例如:splunk_server=remoteserver。我希望将我为新事件设置的splunk_server值添加到splunk中。但出现的是默认值。
有没有办法设置splunk_server的值,并在每次添加新事件时显示我在Splunk服务器中设置的值?
我在Splunk中进行了这个搜索,它在图形中显示的字段value是最大的,而不是每个字段的总和。
host=users| JOIN type=inner id [ SEARCH host=bills | rename id_user AS id ] | stats sum(value) as value by document | sort - value | head 20
值的格式为2000.0
也许它必须与sort - value一起使用,我是新使用Splunk的
这是没有stats的结果
假设Server 2012标准版。
我的数据库有一个5亿行的表。这个表大约有十几个列,没有一个很宽(有些是varchar(100)'s和一些ints)。
聚集索引(也是主键)是标识列。
使用此表的应用程序有一个屏幕,用户可以在该屏幕上搜索大多数列。屏幕上的一个搜索字段(这是必需的)具有开始搜索或包含搜索的选项,因此
WHERE ABC LIKE 'something%' -- starts with
或
WHERE ABC LIKE '%something%' -- contains
与这里的示例不同,实际的查询是参数化的。
其他搜索字段以搜索开头,就
在Splunk中,我尝试从字符串中提取不等于特定单词的多个参数和值。例如: 此字段中任何不等于“负”的内容,提取参数和值: 字段: field={New A=POSITIVE, New B=NEGATIVE, New C=POSITIVE, New D=BAD} 结果: New A=POSITIVE
New C=POSITIVE
New D=BAD
出于某种原因,splunk正在合并多个日志。
由于统计原因,每次用户登录时,我都会登录。我期望在splunk中,每条日志将得到一行,如下所示:
TIMESTAMP user of type=1 has logged in
----------------------------
TIMESTAMP user of type=2 has logged in
----------------------------
TIMESTAMP user of type=3 has logged in
等等,其中-------------表示日志之间的分隔符。
但是,我将多个日志视为一个日志,例如:
TIM