Splunk:查询相同用户在相隔不到30分钟的时间内调用同一个端点

时间:2017-02-05 23:30:18

标签: splunk splunk-query

基于以下条目:

ORDER=entry1 USER=user1 EP=endpoint1 TIME=10:00
ORDER=entry2 USER=user2 EP=endpoint1 TIME=10:01
ORDER=entry3 USER=user1 EP=endpoint1 TIME=10:05
ORDER=entry4 USER=user2 EP=endpoint1 TIME=11:00

我想编写一个Splunk查询,该查询将列出同一用户对endpoint1的所有调用,间隔时间不到30分钟。

查询的输出将是

ORDER=entry3 USER=user1 EP=endpoint1 TIME=10:05

因为只有entry3由同一个用户以不到30分钟的间隔完成到该端点。

我尝试编写查询,但我不知道如何将其发送给普通用户。我的查询有效,但它们适用于特定用户。

如何使其通用?

1 个答案:

答案 0 :(得分:0)

我得到它的方法是添加一个虚拟字段,该字段是USER和EP的串联,如本文档中所示:https://answers.splunk.com/answers/33738/concatenate-fields-into-a-single-string.html

我提出的查询是:

"endpoint1" | eval USEREP = USER.";".EP | transaction USER maxspan=30min
相关问题
最新问题