Splunk:列出可以访问的索引和来源-6ren

Splunk:列出可以访问的索引和来源

转载作者：行者123 更新时间：2023-12-05 06:53:18

25

4

使用这个搜索命令

| eventcount summarize=false | dedup index | fields index

我得到了我在 Splunk 中有权访问的所有索引的列表。是否还有可能获得除此之外的另一列，其中索引的来源也可见？

编辑: 看来我找到了解决方案:

| tstats 计数 WHERE index=* sourcetype=* source=* by index, sourcetype, source |字段 - 计数

这会返回一个列表，其中包含索引、来源类型和来源的列。

最佳答案

如果 tstats 没有强制读取 sources 的权限，您可以使用 join 到您的原始查询inner 加入 index，以限制您可以看到的索引:

| tstats count WHERE index=* OR index=_* by index source 
| dedup index source | fields index source 
| join type=inner index [| eventcount summarize=false | dedup index | fields index]

关于Splunk:列出可以访问的索引和来源，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/65810232/

25

4

0

文章推荐： c# - 在 asp.net core 中通过 ajax 传递数据时获取空列表

文章推荐： Javascript toFixed 不舍入

文章推荐： javascript - 在 ReactJS 箭头函数类属性上防止 ESLint "no-undef"

文章推荐： pytorch - 在训练期间更改 Dropout 值

splunk - 使用另一个 splunk 查询的结果过滤 splunk 结果
我想在 splunk 中使用查询，提取字段列表，然后使用这些结果字段进一步过滤我后续的 splunk 查询。我该怎么做？最佳答案 FORMAT 命令对此特别有用。这是一个过于简单的示例，但应该让您了
splunk - 如何计算两个事件之间的持续时间 Splunk
我需要找到两个事件之间的持续时间。我在 splunk 上查看了解决方案和 Stack Overflow，但仍然无法得到计算结果。 sentToSave 和 SaveDoc 都已格式化时间戳，这就是我使
splunk - 如何计算两个事件之间的持续时间 Splunk
我需要找到两个事件之间的持续时间。我在 splunk 上查看了解决方案和 Stack Overflow，但仍然无法得到计算结果。 sentToSave 和 SaveDoc 都已格式化时间戳，这就是我使
splunk - 如何有条件地创建 splunk 字段别名？
我正在尝试将来自两个不同日志的信息合并到一个查询中，但我不确定如何或是否可以做到这一点。本质上我想这样做: LOG 1: LOG 2: fooid=1234 speed=500 fooid=54
splunk - splunk 中的负正则表达式(不使用字段)
在不提取字段的情况下，我想搜索不包含“country=$”的任何事件，即事件不得以“country=”结尾。我可以将其正则表达式为“country=(?!$)”，但这仍然需要国家/地区出现在事件中，这
splunk - 为 Splunk 中的变量赋值并在搜索中使用该值
我有一个用例，我想根据条件将值设置为一个变量，并在搜索命令中使用该变量。例子:-我要检查条件 if account_no=818 then var1="vpc-06b" el
splunk - splunk "ifnull"函数的文档？
我们在一个 Splunk 查询中使用了 ifnull 函数(是的，ifnull 而不是 isnull)，我想看看只是为了确定逻辑，但我无法在任何地方找到它的记录。是referenced in a f
splunk - 如何在 Splunk 中统计结果并将其放入表格中？
我正在尝试在 Splunk 中创建一个表，其中包含提取的多个字段以及当我向 Splunk 提供要搜索的字符串时返回的条目总数。我遇到的问题是，当我使用 stats 命令获取返回结果的计数并将其通过管道
splunk - 统计计数 Splunk 查询
我想知道是否有人可以帮助我。我发表了以下关于我正在尝试编写的 Splunk 查询的帖子: https://answers.splunk.com/answers/724223/in-a-table-p
splunk - 如何在 Splunk 中统计结果并将其放入表格中？
我正在尝试在 Splunk 中创建一个表，其中包含提取的多个字段以及当我向 Splunk 提供要搜索的字符串时返回的条目总数。我遇到的问题是，当我使用 stats 命令获取返回结果的计数并将其通过管道
splunk - 查询以循环遍历 splunk 中的数据
我的日志中有以下几行: ...useremail=abc@fdsf.com id=1234 .... ...useremail=pqr@fdsf.com id=4565 .... ...userema
splunk - 如何在 Splunk 中搜索每天的给定时间范围？
我正在尝试在 Splunk 中搜索在特定时间范围内发生的事件，但我希望该搜索包含我索引的所有数据，这些数据涵盖了广泛的日期范围。例如，我想查看索引日志文件中的一行是否在我已索引的 25 天日志中的上
docker - 无法在 Kubernetes 上挂载 Splunk 配置 - 错误 : Couldn't read "/opt/splunk/etc/splunk-launch. conf
我正在使用 this Kubernetes 上的 Splunk 镜像(使用 minikube 进行本地测试)。应用下面的代码后，我面临以下错误: ERROR: Couldn't read "/opt
splunk - 为什么要创建 splunk 仪表板与 View ？
我试图弄清楚为什么有人想要在 Splunk 中创建仪表板。 View 允许您添加表单以及任何图表和搜索，而仪表板则不允许。那么，我为什么要制作仪表板？一个比另一个有什么优势吗？最佳答案嗯.....
splunk - 如何获取特定 splunk 事件的 url？
如何从搜索返回的 splunk 事件列表中获取特定 splunk 事件的 url？如果这是不可能的，并且我需要创建一个只返回该事件的搜索，那么我可以在查询中使用的每个事件是否有一些唯一的 ID？最
splunk - 在 Splunk 查询中对 "earliest"使用亚秒精度
我有一个 Splunk 搜索字符串。如果我添加 earliest=10/05/2020:23:59:58，搜索字符串仍然有效。但是，如果我将其更改为 earliest=10/05/2020:23:59
splunk - 使用 Alpine 基础镜像创建 Splunk 通用转发器
我正在尝试使用 alpine:3.8 基础镜像创建一个 Splunk 通用转发器镜像。 FROM alpine:3.8 ENV SPLUNK_PRODUCT universalforwarder EN
splunk - 如何在 Splunk 中解析 JSON 指标数组
我从 API 收到以下格式的 JSON: [ { "scId": "000DD2", "sensorId": 2, "metrics": [ {
splunk - 如何设置 Splunk 以接收来自 Serilog/.Net 的日志记录？
我尝试编写一个 c# 程序，通过 serilog 记录器记录到 splunk。我尝试设置 splunk 来监听日志记录。全部在我的本地机器上运行。我的猜测是我没有正确配置 Splunk。
splunk - 如何在 Splunk 中准确计算第 99.9 个百分位数
有谁知道如何在 Splunk 中准确计算第 99.9 个百分位数？我尝试了如下多种方法，例如 exactperc(但这只需要整数百分位数)和 perc(但这非常接近结果)。 base | stats

首页

博学

6Ren·AI

商城

Splunk:列出可以访问的索引和来源