如何解决Splunk:列出可以访问的索引和源
使用此搜索命令
| eventcount summarize=false | dedup index | fields index
我得到了我在 Splunk 中可以访问的所有索引的列表。是否还有可能获得除此之外的另一列,其中也可以看到索引的来源?
编辑:我似乎找到了一个解决方案:
| tstats count WHERE index=* sourcetype=* source=* by index,sourcetype,source | fields - count
这会返回一个包含索引、源类型和源列的列表。
解决方法
如果 sources
没有强制执行读取 tstats
的权限,您可以使用 join
上的 inner
联接 index
到您的原始查询,以限制您可以看到的索引:
| tstats count WHERE index=* OR index=_* by index source
| dedup index source | fields index source
| join type=inner index [| eventcount summarize=false | dedup index | fields index]
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。