Question

В Splunk я пытаюсь получить пользователя, сохранить имя поиска и последний раз, когда выполнялся запрос? Один запрос Splunk будет хорошо. Я очень новичок в Splunk, и я пробовал эти запросы: -

index=_audit action=search info=granted  search=* 
| search IsNotNull(savedsearch_name)  user!="splunk-system-user"   
| table  user savedserach_name user search _time

Приведенный выше запрос всегда пуст для savesearch_name.

RichG · Answer 1 · 19 октября 2019

Журнал аудита Splunk оставляет желать лучшего. Для лучших результатов выполните поиск по внутреннему индексу.

index=_internal savedsearch_name=* NOT user="splunk-system-user" 
| table user savedsearch_name _time

Однако вы не увидите поисковый запрос. Для этого используйте REST.

| rest /services/saved/searches | fields title search

Объедините их примерно так (могут быть другие способы)

index=_internal savedsearch_name=* NOT user="splunk-system-user" 
| fields user savedsearch_name _time
| join savedsearch_name [| rest /services/saved/searches 
  | fields title search | rename title as savedsearch_name]
| table user savedsearch_name search _time

Splunk запрос, чтобы получить пользователя, сохраненное имя поиска, последний раз, когда запрос был

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Splunk запрос, чтобы получить пользователя, сохраненное имя поиска, последний раз, когда запрос был

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы