我非常擅长使用Splunk并且有一个非常基本的问题。是否可以使用REST API在不使用已保存的搜索的情况下查询Splunk?
感谢。
答案 0 :(得分:12)
您可以将搜索字符串指定为export端点的参数,并在服务器上没有保存搜索的情况下获取结果。
curl -ku admin:changeme https://localhost:8089/servicesNS/admin/search/search/jobs/export -d search="search index%3D_internal | head 3" -d output_mode=csv
output_mode是一个可选参数。如果xml是默认值,您还可以指定json,csv或xml。
如果您想坚持自己选择的语言,也可以使用其中一个Splunk SDKs。 SDK可以让您更轻松地与Splunk交流。
-Neeraj。