Splunk alert email subject中引用查询结果中的多条数据的字段值

已于 2022-07-06 14:57:46 修改
阅读量425 收藏
点赞数
分类专栏: Splunk 文章标签: splunk 大数据
于 2021-10-28 15:16:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/QYHuiiQ/article/details/121014033
版权
本文介绍了如何在Splunk alert email的subject中引用查询结果中多条数据的字段值,通过结合使用eventstats和nomv命令,可以将多个值合并并在email subject中展示。例如,要显示所有student字段的值,可以在Splunk查询中添加相关命令,然后在邮件主题中引用这些值。
摘要由CSDN通过智能技术生成

在splunk alert email subject中,我们有的时候会希望将查询结果中的某个字段值放在subject中引用,一般情况下我们使用result.fieldname即可,但是这种做法只可适用于单条数据,因为result的用法是只针对查询结果中的第一条数据有效:

 所以要想使多条数据中的某个字段值都引用到subject中,我们可以尝试使用eventstats然后使用nomv命令将多个值合并在一起,也许还有更好的获取值的方式,但是目前只找到了这一种可用方法:

假设原来的数据是这样的:

我们想在alert email 中引用student这个字段的值,并且是这三条数据的所有student的值,可以在spl中加上eventstats和nomv命令即可:

...base search
| eventstats values(student) AS student_list
| nomv student_list
| table ... student_list

 然后在email subject中引用:

Splunk Alert: Student Info - $result.student_list$

这样收到的邮件中就可以直接将三个sutdent的值同时显示在subject中了:

QYHuiiQ
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
Splunk 的一个Bug (Events from tracker.log have not been seen)
shenghuiping2001的专栏
03-05 558
Splunk 的一个Bug: Events from tracker.log have not been seen for xx seconds. 解决方法: 除了升级以外,还有就是在健康检查设置上disable.
Splunk alert邮件附件pdf禁用chart图
QYHuiiQ
12-29 327
splunk alert email的配置,可以勾选"Attach CSV"将spl的结果以pdf的形式附在邮件,但是默认情况下它还会添加一个chart图,比如说我们的spl是以table的形式取展示的,它自动添加一个chart图就显得不太合适,我们可以在alert列表,选择edit里面的advanced edit,将display.visualizations.show的设置为0即可。 Solved: How do I remove the chart on the top of the PD
Jenkins的邮件通知
weixin_31323635的博客
03-24 1141
Jenkins的邮件通知 邮件通知 (1)进入Manage Jenkins→Configure System→Jenkins Location设置页面,设置管理员邮箱 (2)在同一个页面找到E-mail Notification部分 勾选“Test configuration by sending test e-mail”复选框,输入接收测试邮件的邮箱,然后单击“Test configura...
(实战经验) Splunk 迁移alert / report / dashboard
shenghuiping2001的专栏
05-22 254
两个不同的search head 迁移,同步后, 搜索后的结果就是一样的了。
Splunk-Alert:Splunk 警报脚本示例
06-17
Splunk 警报脚本模板和示例 文件: credentialsFromSplunk.py:一个包装类,用于获取有效的 Splunk 会话密钥并检索保存在指定 Splunk 应用程序上下文的一组凭据 targetlist.py:用作 IP 地址列表处理程序的类。 获取 Splunk 警报结果的路径并提取第一列,假设它是 IPv4 地址列表 GoogleSpreadsheet/gsheet.py:用于将 Splunk 警报结果发送到定义的谷歌电子表格的自制程序类。 您必须立即编辑此类的预期列。 GoogleSpreadsheet/alert_to_gsheet.py:由 Splunk 警报调用的警报脚本,该警报使用 credentialsFromSplunk 和 gsheet 类。 alert_script.py:一个示例警报脚本,它调用占位符 IPS 类,就好像您正在通过它自己的
SPLUNK 50文手册.pdf
04-09
SPLUNK 50文手册.pdfSPLUNK 50文手册.pdfSPLUNK 50文手册.pdfSPLUNK 50文手册.pdfSPLUNK 50文手册.pdfSPLUNK 50文手册.pdf
splunk8.0文文档手册.rar
08-06
3. **数据转发**:数据转发是指在多个Splunk实例间传输数据。这在分布式环境非常重要,可以实现数据的集化管理和分析。手册会介绍如何配置数据转发器,以及设置接收端的接收配置。 4. **部署**:这部分内容将...
Splunk文搜索手册6.5.0.pdf
09-09
这份手册涵盖了从基本搜索语法到高级搜索技巧,包括搜索优化、任务管理和导出搜索结果等多个方面。 搜索概述介绍了 Splunk 的搜索和报表应用,它主要通过 Splunk Web、命令行界面(CLI)和 REST API 提供服务。搜索...
Splunk查询官方教程_
09-02
4. **数据透视表**:`Splunk-7.0.0-Pivot-数据透视表手册-zh_CN.pdf` 和 `Splunk-7.0.0-PivotTutorial-数据模型和数据透视表教程-zh_CN.pdf` 阐述了如何使用数据透视表进行多维度数据分析。数据透视表允许用户动态...
splunk 7.0 文手册
04-09
3. **搜索与查询**: Splunk的搜索语法强大而灵活,允许用户通过关键词、时间范围、字段过滤等方式进行复杂查询。手册将详细介绍搜索命令、时间选择器和高级搜索语法。 4. **索引与数据管理**: 理解如何管理索引是...
splunk_ttriage_alert:自定义警报将日志输出到t-Triage
04-06
转到$ SPLUNK_DIR / etc / apps / 克隆此存储库 转到触发动作>添加动作,然后选择“将事件推送到t-Triage” 填写所有字段并保存警报 栏位: URL t-Triage后端实际运行的URL(例如 ) 日志模式转换模式由文字文本和称为转换说明符的格式控制表达式组成。 每个转换说明符均以百分号“%”开头,后跟可选的格式修饰符,转换字和大括号之间的可选参数。 转换字控制数据字段进行转换,例如记录器名称,级别,日期或线程名称。 如果使用的是Logback,则可以在logback.xml文件的和标记之间找到此模式。 程序包名称这些是您要从获取事件的程序包名称。 如果要检查多个程序包名称,请使用逗号(,)分隔它们。 例如,“ com.clarolab,com.google”。 客户端ID和秘密ID客户端ID和秘密ID是在后端生成的用于认证请求的令牌。
alert_manager:Splunk Alert Manager具有有关警报,工作流(修改受让人,状态,严重性)和自动解决功能的高级报告
05-06
警报管理器 作者:Simon Balz ,Mika ,Datapunctum GmbH 说明:适用于SplunkAlert Manager App具有有关警报,工作流(修改受让人,状态,严重性)和自动解决功能的高级报告 版本:@ version @ 介绍 警报管理器将简单的事件工作流程添加到Splunk。 通用目的是为公用应用提供仪表板,以调查触发的警报或得注意的事件。 它可以与每个Splunk警报一起使用,并且可以作为Splunk内置警报机制的扩展。 通过事故状态仪表板了解当前的操作情况 只需单击几下即可分析事件的根本原因 审查并调整突发事件的紧急程度,以改善操作计划 向负责人发送事件 跟踪和报告事件工作流程KPI 对事件进行标记和分类 特征 用作“自定义警报措施”以捕获已触发警报的丰富元数据并将其存储在可配置的单独索引 每个触发的警报都会创建一个事件 配置的事件可运行知
多条件模糊匹配搜索--模糊查询
12-24
概要: 不论是在论坛,还是新闻系统,或是下载系统等动态网站,大家经常会看到搜索功能:搜索帖子,搜索用户 ,搜索软件(总之搜索关键字)等,本文则是介绍如何建立一个高效实用的,基于ASP的站内多搜索。 本文面对的是“多条件模糊匹配搜索”,理解了多条件的,单一条件搜索也不过小菜一碟了。一般来讲,有两 种方法进行多条件搜索:枚举法和递进法。搜索条件不太多时(n<=3),可使用枚举法,其语句频度为2的n次 方,成指数增长,n为条件数。很明显,当条件增多以后,无论从程序的效率还是可实现性考虑都应采用递进法 ,其语句频度为n,成线性增长。需要指出的是,枚举法思路非常简单,一一判断条件是否为空,再按非空条件 搜索,同时可以利用真表技术来对付条件极多的情况(相信没人去干这种事,4条件时就已经要写16组语句 了);递进法的思想方法较为巧妙,重在理解,其巧就巧在一是使用了标志位(flag),二是妙用SQL字符串 连接符&。下面以实例来讲解引擎的建立。 2.实例: 我们建立一通讯录查询引擎,数据库名为addressbook.mdb,表名为address,字段如下: ID Name Tel School 1 张 三 33333333 电子科技大学计算机系 2 李 四 44444444 四川大学生物系 3 王 二 22222222 西南交通大学建筑系
splunk 自定义SPL命令关联威胁情报数据
最新发布
03-17 320
通过自定义SPL命令关联微步情报数据,效果如下: 1、安装splunk-sdk cd /data/splunk/etc/apps/search/bin pip3 install -t . splunk-sdk 2、自定义脚本开发 [root@SIEM-P-VC-A001 bin]# more threatquery.py #!/usr/bin/python # -*- coding: ...
splunk配置163邮箱告警
shenghuiping2001的专栏
07-03 840
splunk + 163 服务器来配置报警。
Splunk的基本使用心得
热门推荐
ssegrub的博客
08-27 1万+
Splunk的一些基本使用心得
splunk alert email引用查询结果字段
QYHuiiQ
12-05 522
splunk alert email有一个配置是可以将查询结果的字段嵌入一个表格的: 也就是在spl最后的table命令后面指定了哪些字段,在email引用的表格就会把这些字段全部显示出来。但是有些情况下我们只想让表格展示某几个字段,然后还有一些字段想用在subject或者是语言描述。为了实现这个需求,可以将不展示在表格字段重命名为已下划线"_"开头的字段名,这样就可以既不展示在表格里又可以在邮件的其他地方引用字段: index="splunk_oracle_index" .
一、splunk入门
weixin_43374578的博客
10-25 6668
一、简介 1. Machine Data 一般公司,机器数据占了大概90%以上,包含如应用数据,监控数据,脚本数据等; 机器数据数据结构各种各样; 处理数据繁琐且难度大,因此引入工具来提升数据分析效率; 2. Splunk 用来处理数据的,主要包含5个功能 2.1 Index Data 将所有数据进行处理,索引,将数据包装成一个个的event,并存储在指定的位置; 在检索的时候,通过输入的检索条件,从指定的位置去读取数据; 2.2 Search & Investigate 在搜
alertmanager实现邮件告警以及设置告警主题
chris3_29的博客
06-22 2365
alertmanager.yml配置如下: global: resolve_timeout: 5m smtp_smarthost: 'smtp.exmail.qq.com:465' smtp_from: '**********' smtp_auth_username: '************' smtp_auth_password: '************' smtp_require_tls: false templates: - '/usr/local/alertmanager/templa
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

QYHuiiQ

听说打赏的人工资翻倍~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值