我想从Splunk获取用户,保存的搜索名称以及上次运行查询的时间? 单个Splunk查询将是不错的选择。 我是Splunk的新手,我已经尝试过以下查询:-
index=_audit action=search info=granted search=*
| search IsNotNull(savedsearch_name) user!="splunk-system-user"
| table user savedserach_name user search _time
上述查询,对于savesearch_name始终为空。
答案 0 :(得分:1)
Splunk的审核日志还有点不足。为了获得更好的结果,请搜索内部索引。
index=_internal savedsearch_name=* NOT user="splunk-system-user"
| table user savedsearch_name _time
但是,您不会看到搜索查询。为此,请使用REST。
| rest /services/saved/searches | fields title search
将它们合并成这样(可能还有其他方式)
index=_internal savedsearch_name=* NOT user="splunk-system-user"
| fields user savedsearch_name _time
| join savedsearch_name [| rest /services/saved/searches
| fields title search | rename title as savedsearch_name]
| table user savedsearch_name search _time