splunk alert email中引用查询结果中的字段

已于 2022-07-06 14:56:53 修改
阅读量522 收藏
点赞数
分类专栏: Splunk 文章标签: splunk 大数据
于 2021-12-05 20:29:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/QYHuiiQ/article/details/121734299
版权
在Splunk的警报邮件中,可以通过在`table`命令后指定字段来显示查询结果。若要仅在邮件的表格外引用特定字段,如ID,可以将不想显示的字段重命名为以下划线"_"开头的名称。这样,ID字段将不会出现在表格中,但仍可用于邮件的描述部分。实际应用中,收到的邮件证实ID字段不会在表格显示,但可在邮件正文中引用。
摘要由CSDN通过智能技术生成

在splunk alert email中有一个配置是可以将查询结果的字段嵌入一个表格的:

 也就是在spl中最后的table命令后面指定了哪些字段,在email引用的表格中就会把这些字段全部显示出来。但是有些情况下我们只想让表格中展示某几个字段,然后还有一些字段想用在subject中或者是语言描述中。为了实现这个需求,可以将不展示在表格中的字段重命名为已下划线"_"开头的字段名,这样就可以既不展示在表格里又可以在邮件中的其他地方引用该字段:

index="splunk_oracle_index"
| rename ID as _ID
| table _ID NAME AGE HOMETOWN

这里将ID字段不展示在表格中,但在邮件描述中引用。

查看收到的邮件,ID字段就不会显示在表格里了,并且可以在语言描述的信息中引用ID:

QYHuiiQ
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
Splunk 的一个Bug (Events from tracker.log have not been seen)
shenghuiping2001的专栏
03-05 558
Splunk 的一个Bug: Events from tracker.log have not been seen for xx seconds. 解决方法: 除了升级以外,还有就是在健康检查设置上disable.
splunk配置163邮箱告警
shenghuiping2001的专栏
07-03 840
splunk + 163 服务器来配置报警。
splunk学习笔记——lookup table
Cwiky_1993的博客
05-24 6125
1.需求查找近一个月内没有使用过邮箱的用户2.准备 邮件日志:mail-iislog 所有用户的邮箱地址文件mail.csv(必须是csv格式) 3.具体操作通过查询官方文档《Search Reference》,inputlookup命令可以满足需求。 目的:查找在mail.csv出现,但在mail-iislog没有出现的用户名 实现: a. 导入mail.csv到splunk作为查找表
SPLUNK 安装配置及常用语法
weixin_34238633的博客
01-28 647
一)安装配置环境:CentOS 6.2 开始安装: 首先关闭selinux:#vi /etc/sysconfig/selinux SELINUX=disabled setenforce 0将之前官网下载好的压缩包进行解压,并安装。#tar -zxvf splunk-6.0.1-189883-Linux-x86_64.tgz #cd .. #mv splunk /usr/l...
Splunk-Alert:Splunk 警报脚本示例
06-17
Splunk 警报脚本模板和示例 文件: credentialsFromSplunk.py:一个包装类,用于获取有效的 Splunk 会话密钥并检索保存在指定 Splunk 应用程序上下文的一组凭据 targetlist.py:用作 IP 地址列表处理程序的类。 获取 Splunk 警报结果的路径并提取第一列,假设它是 IPv4 地址列表 GoogleSpreadsheet/gsheet.py:用于将 Splunk 警报结果发送到定义的谷歌电子表格的自制程序类。 您必须立即编辑此类的预期列。 GoogleSpreadsheet/alert_to_gsheet.py:由 Splunk 警报调用的警报脚本,该警报使用 credentialsFromSplunk 和 gsheet 类。 alert_script.py:一个示例警报脚本,它调用占位符 IPS 类,就好像您正在通过它自己的
SPLUNK 50文手册.pdf
04-09
SPLUNK 50文手册.pdfSPLUNK 50文手册.pdfSPLUNK 50文手册.pdfSPLUNK 50文手册.pdfSPLUNK 50文手册.pdfSPLUNK 50文手册.pdf
splunk8.0文文档手册.rar
08-06
6. **查询语言**:Splunk查询语言(SPL)是用于搜索、分析和操作数据的强大工具。手册将详细讲解SPL语法、函数和操作符,帮助用户编写复杂的查询来提取有价值的信息。 7. **安全**:安全章节将涵盖Splunk的安全最佳...
Splunk文搜索手册6.5.0.pdf
09-09
Splunk 文搜索手册6.5.0.pdf】提供了全面的 Splunk 搜索功能的文指南,适用于理解和操作 Splunk Enterprise 6.5.0 版本。这份手册涵盖了从基本搜索语法到高级搜索技巧,包括搜索优化、任务管理和导出搜索结果...
Splunk查询官方教程_
09-02
Splunk支持灵活的自然语言查询,如`search`、`where`、`stats`等命令,帮助用户提取、过滤、聚合和分析数据。此外,它还支持时间范围选择、字段提取、正则表达式匹配等功能,使数据分析变得简单高效。 2. **告警**...
splunk 7.0 文手册
04-09
3. **搜索与查询**: Splunk的搜索语法强大而灵活,允许用户通过关键词、时间范围、字段过滤等方式进行复杂查询。手册将详细介绍搜索命令、时间选择器和高级搜索语法。 4. **索引与数据管理**: 理解如何管理索引是...
alert_manager:Splunk Alert Manager具有有关警报,工作流(修改受让人,状态,严重性)和自动解决功能的高级报告
05-06
警报管理器 作者:Simon Balz ,Mika ,Datapunctum GmbH 说明:适用于SplunkAlert Manager App具有有关警报,工作流(修改受让人,状态,严重性)和自动解决功能的高级报告 版本:@ version @ 介绍 警报管理器将简单的事件工作流程添加到Splunk。 通用目的是为公用应用提供仪表板,以调查触发的警报或值得注意的事件。 它可以与每个Splunk警报一起使用,并且可以作为Splunk内置警报机制的扩展。 通过事故状态仪表板了解当前的操作情况 只需单击几下即可分析事件的根本原因 审查并调整突发事件的紧急程度,以改善操作计划 向负责人发送事件 跟踪和报告事件工作流程KPI 对事件进行标记和分类 特征 用作“自定义警报措施”以捕获已触发警报的丰富元数据并将其存储在可配置的单独索引 每个触发的警报都会创建一个事件 配置的事件可运行知
splunk_ttriage_alert:自定义警报将日志输出到t-Triage
04-06
转到$ SPLUNK_DIR / etc / apps / 克隆此存储库 转到触发动作>添加动作,然后选择“将事件推送到t-Triage” 填写所有字段并保存警报 栏位: URL t-Triage后端实际运行的URL(例如 ) 日志模式转换模式由文字文本和称为转换说明符的格式控制表达式组成。 每个转换说明符均以百分号“%”开头,后跟可选的格式修饰符,转换字和大括号之间的可选参数。 转换字控制数据字段进行转换,例如记录器名称,级别,日期或线程名称。 如果使用的是Logback,则可以在logback.xml文件的和标记之间找到此模式。 程序包名称这些是您要从获取事件的程序包名称。 如果要检查多个程序包名称,请使用逗号(,)分隔它们。 例如,“ com.clarolab,com.google”。 客户端ID和秘密ID客户端ID和秘密ID是在后端生成的用于认证请求的令牌。
Splunk alert邮件附件pdf禁用chart图
QYHuiiQ
12-29 327
splunk alert email配置,可以勾选"Attach CSV"将spl的结果以pdf的形式附在邮件,但是默认情况下它还会添加一个chart图,比如说我们的spl是以table的形式取展示的,它自动添加一个chart图就显得不太合适,我们可以在alert列表,选择edit里面的advanced edit,将display.visualizations.show的值设置为0即可。 Solved: How do I remove the chart on the top of the PD
(实战经验) Splunk 迁移alert / report / dashboard
shenghuiping2001的专栏
05-22 254
两个不同的search head 迁移,同步后, 搜索后的结果就是一样的了。
Splunk alert email subject引用查询结果的多条数据的字段
QYHuiiQ
10-28 425
splunk alert email subject,我们有的时候会希望将查询结果的某个字段值放在subject引用,一般情况下我们使用result.fieldname即可,但是这种做法只可适用于单条数据,因为result的用法是只针对查询结果的第一条数据有效: 所以要想使多条数据的某个字段值都引用到subject,我们可以尝试使用eventstats然后使用nomv命令将多个值合并在一起,也许还有更好的获取值的方式,但是目前只找到了这一种可用方法: 假设原来的数据是这样的: 我们.
Splunk的基本使用心得
ssegrub的博客
08-27 1万+
Splunk的一些基本使用心得
将一个表的查询结果作为另一查询字段(动态查询列)
热门推荐
我的DBA之路
07-12 3万+
接着上面IP地址字段查询问题,那就是统计结果的展示格式。朋友要的格式是:                城市1  城市2   城市3   城市42010-06      0      1         0         0 2010-08      0      1         0         2 2010-07      0      0         1         0 2010-05      1      0         0         0时间和记录都是从SINO_USER
Splunk alert引用带有空格的字段
QYHuiiQ
12-29 381
alert email有时我们会通过$result.field$来引用spl得到的某个字段值,当字段名是包含空格时,同样也是正常使用的,不需要额外添加引号或者其他符号去强调空格的存在: eg: Subject:The error is: $result.test field$ #test field为带有空格的字段名 ......
Splunk Filed Alias 字段改名
shenghuiping2001的专栏
08-01 293
Splunk Filed alias 对字段统一发挥着巨大的作用呢。
Splunk5.0文教程:入门到精通
报表可以将搜索结果汇总成易于理解的形式,而仪表板则可以将多个报表和搜索结果组合在一个视图,提供实时监控。教程通过实例展示了如何创建和定制报表以及仪表板,这对于IT监控和业务分析非常实用。 此外,Splunk...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

QYHuiiQ

听说打赏的人工资翻倍~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值