对于Splunk来说,我还比较陌生,因此我尝试创建一个报告,该报告将显示主机名以及该主机在过去五分钟内(失败3次或更多次)登录失败的次数。如我在查询中看到的那样,我能够获得所需的初始搜索结果的唯一方法是仅在过去5分钟内查看:
index="wineventlog" EventCode=4625 earliest=-5min | stats count by host,_time | stats count by host | search count > 2
这将返回主机和计数。问题是,如果我在报表中使用此查询,它可以每五分钟运行一次,但是以前列出的主机将被删除,因为它们不再包含在搜索结果中。
我找到了生成日志的方法,然后可以分别搜索(http://docs.splunk.com/Documentation/Splunk/6.6.2/Alert/LogEvents),但是它没有按我预期的方式工作。
我正在寻找这些问题的答案,以帮助我获得预期的结果:
答案 0 :(得分:0)
如果您只关心最近5分钟,则仅搜索最近5分钟。搜索更多只是浪费资源。
考虑通过计划搜索将结果写入摘要索引(使用val result = Observable.combineLatest<String, Int, String>(sourceObservable1, sourceObservable2) { s, integer -> s + ": " + integer }),并让您的报告/仪表板显示摘要索引中的值。