Splunk 数据从一个index 进入另外一个index

于 2023-02-06 15:26:25 发布
阅读量450 收藏
点赞数
分类专栏: splunk 文章标签: splunk index fileds SPL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shenghuiping2001/article/details/128902004
版权
本文介绍了一个案例,涉及如何在Splunk中跟踪一个index的数据进入另一个index,并计算迁移比例。通过建立共同参数host_name,使用SPL查询分别统计了迁移数据量、未迁移数据量以及迁移数据占总数据的比例。
摘要由CSDN通过智能技术生成

今天碰到一个case,就是Splunk 一个index 的数据会进入另外一个index, 最后要算进入的比例,还要把相关的属性给同步列出来:

如下图:

上面数据B 原来在index=A 上面,这些数据B 的host 还要进入index=C, 下面要计算进入index=C 的数据B 的host 在index=A 中的比例。下面一步步算:

1: B 的数据量 和具体值。

2: A中除了B以外,还要多少剩下的没有进入C 的,也要列出来。

3: 进入C 的数据B ,在总的A 的比例是多少。

下面看实验:

1: 1: B 的数据量 和具体值:

思想:想建立一个共同的参数: host_name

   如果数据在A 中 ,也同时在C中:name_AAA_host_count=1 and CCC_host_count=1

<
了解本专栏 订阅专栏 解锁全文 超级会员免费看
shenghuiping2001
关注
专栏目录
订阅专栏
【有用】Splunk 多个index fileds value 交叉比较SPL
shenghuiping2001的专栏
02-03 435
Splunk 多个index index fileds 的交叉比较,可以采用mvappend 来实现:A+B=C, C 中count=1 的就是不同的,count=2 or > 2 的就是相同的。
Splunk btool 解决实际 字段不匹配的case
shenghuiping2001的专栏
04-01 527
Splunk 中利用props.conf 和transform.conf 的配置,可以用btool 来列出来。 splunk btool props list --app=ABC --debug
splunk
Larry的博客
06-07 2419
Splunk 是机器数据的引擎。使用 Splunk 可收集、索引和利用所有应用程序、服务器和设备(物理、虚拟和云中)生成的快速移动型计算机数据 。从一个位置搜索并分析所有实时和历史数据。 使用 Splunking 处理计算机数据,可让您在几分钟内(而不是几个小时或几天)解决问题和调查安全事件。监视您的端对端基础结构,避免服务性能降低或中断。以较低成本满足合规性要求。关联并分析跨越多个系统的复杂事件
使用SPLUNK进行简单Threat Hunting
weixin_30408165的博客
02-19 486
通过订阅网上公开的恶意ip库(威胁情报),与SIEM平台中网络流量日志进行匹配,获得安全事件告警。 比如,这里有一个malware urls数据下载的网站,每天更新一次: https://urlhaus.abuse.ch/browse/ 下载urlhaus里恶意url数据,https://urlhaus.abuse.ch/downloads/text/, 稍微整理一下,做成一个csv格式的文件,方...
Splunk中对字段值内部进行换行
QYHuiiQ
02-28 889
splunk中,有时某个字段的值可能是一长串多个具有key-value含义的拼接,但是我们想将这一长串的拼接在值的内部已换行的形式展示出来,比如在alert email body中直接使用该值时,就会以换行的形式展示,便于阅读。下面是两种方法,一种是mode=sed的方式,一种是以replace直接替代为换行的方式。 #case1,假设长串中以分号来连接key-value | makeresults | eval name="aaa",age="bbb",address="ccc" | eval
splunk index 归档
shenghuiping2001的专栏
10-26 441
1: 先看一下index 的属性: 有设置 hot /cold/ frozen 的data size 是10M,还有归档的目录是 /archive. 如果是已经创建好的index, 可以进行修改的: setting -> index -- edit, 如果是集群的方式,要通过 master control server 来: /opt/splunk/etc/master-apps/进入一个app 里面,进行修改好参数,然后: splunk apply cluster-boundle. ..
splunk 创建 索引 Index
shenghuiping2001的专栏
09-17 1073
splunk的索引太强大的,创建索引可以节省查询时间: 1: 登入 splunk 后,进去右上角的设置:点开就可以看到索引: 2:然后导入数据到这个索引中: 3: 创建好索引后,可以看到index 是对应哪些文件了,另外,index 是可以对应多个文件的。 4:下面进行查询: 5:可以看到查询后,左边有很多字段,这些字段,可以单独用表格列出来: 参考文章:Splunk-管理索引 - 芒果文档 ...
Splunk 恢复 index data
shenghuiping2001的专栏
01-15 293
splunk 一次恢复index 上app 数据的体验
splunk 提取字段_Splunk数据处理
weixin_39600616的博客
12-22 1591
0.提要本篇主要从技术层面针对Splunk Enterprise中关于数据处理的概念、过程与部件进行了概要性总结。1.数据管理基本概念索引(index):Splunk用于存储事件的数据仓库;索引服务实例(indexer):管理Splunk索引的(软件部署)实例,同时也可能肩负数据导入处理与执行检索的工作;索引服务集群(indexer cluster):关于Splunk服务实例的复制集形态集群。1....
splunk spl语法笔记
QYHuiiQ
08-31 5830
#重命名a为b | rename a as b #日期格式化并计算 | eval t1=strptime(time1,"%Y-%m-%dT%H:%M:%S.%3N%z"),t2=strptime(time2,"%Y-%m-%dT%H:%M:%S.%3N%z") | eval duration=t2-t1 #变量值为0时显示的是变量名,需要如下判断(表示如果b+c等于0,那么结果就是0,否则就等于b+c的值) | eval myvalue=if((b+c)=0,0,b+c) #保留两位小.
splunk篇3-spl
qq_27886773的博客
01-18 3200
splunk搜索栏中编辑spl搜索语句,即可检索出已经配置的数据源内容,右边时间栏是选择数据源的变动时间来检索 以上篇的http为例,当我的数据发送到splunk后,输出source="http:httptest" ,其中httptest是我建的http event collector的标记,忘记的可以翻上篇。左侧框中的是字段,字段就是昨天发送数据的body里面的json内容。字段可以...
Splunk的基本使用心得
热门推荐
ssegrub的博客
08-27 1万+
Splunk的一些基本使用心得
Splunk 的默认index: main 的灵活应用
shenghuiping2001的专栏
12-26 667
Splunk main index 的对保留时间的改变是可以的,而且配置文件也找到了。本文也提供了高效的方案来解决这个时间保留问题。
comsol模拟不同形状晶粒的煤体、岩体、土体的水力压裂、煤层压裂相场本构模型,内含不同尺寸的骨料、晶粒 案例文件众多,包含不
最新发布
10-10
comsol模拟不同形状晶粒的煤体、岩体、土体的水力压裂、煤层压裂相场本构模型,内含不同尺寸的骨料、晶粒。 案例文件众多,包含不同尺寸方形晶粒、圆形晶粒、椭圆形晶粒、微小晶粒等。
病房管理系统 SSM毕业设计 源码+数据库+论文(JAVA+SpringBoot+Vue.JS).zip
10-09
病房管理系统 SSM毕业设计 源码+数据库+论文(JAVA+SpringBoot+Vue.JS) 启动教程:https://www.bilibili.com/video/BV1GK1iYyE2B
技术资料分享非常好的通俗易懂的开关电源原理与维修5.zip
10-09
技术资料分享非常好的通俗易懂的开关电源原理与维修5.zip
使用固体氧化物燃料电池供电的数据中心的废热来冷却其服务器的集成系统的设计Matlab代码.rar
10-09
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
用于开发和测试大脑情感唤醒特征(BAAS)的代码.rar
10-09
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
给我一个splunk的告警规则样例
05-27
Splunk 在指定时间内检测到异常登录行为时,可以触发以下告警规则: ``` index=auth fail* OR success* | stats count(eval(match(user,"*")) as unique_users by sourcetype) | where unique_users ``` 解释:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

shenghuiping2001

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值