Мне нужен запрос Splunk, чтобы получить максимальную индексированную метку времени или последнюю индексированную метку времени для типа источника.
Пожалуйста, помогите, так как я застрял здесь довольно долго.
Ваша помощь очень ценится.
Благодарность
Splunk-запрос для получения максимальной индексированной отметки времени для типа источника
Ответы (1)
Это должно сработать.
| tstats latest(_time) where index=* by sourcetype
person
RichG
schedule
19.12.2018
Привет, Рич ... вы бьете, команда выше предоставляет мне временную метку любого типа источника, который был проиндексирован последним, но мне нужно искать временную метку только определенного типа источника, то есть source type = fields.json. вы можете помочь мне с вопросом?
- person Anshu; 19.12.2018
Просто простой вариант той же команды.
| tstats latest(_time) where index=* sourcetype="fields.json". Если вы знаете имя индекса, используйте его вместо * для повышения производительности.
- person RichG; 19.12.2018
Рич, когда я использую указанную выше команду для поиска последней индексированной временной метки определенного типа источника, я получаю результат в сети Splunk, но когда я использую эту команду из linux с помощью curl, я получаю фатальную ошибку:
- person Anshu; 20.12.2018
команда - ›curl -k1 -u admin: prateeks Хост: порт / службы / search / jobs / ‹SID› / results --get -d output_mode = csv error - ›‹ msg type = FATAL ›Ошибка в TsidxStats: отсутствует список полей после ключевого слова GROUPBY или by ‹/Msg›
- person Anshu; 20.12.2018
Команда curl, которую я использую для получения SID: - curl -k1 -u имя пользователя: pwd имя хоста: порт / услуги / поиск / вакансии -d search = | tstats latest (_time), где index = * по sourcetype = fields.json
- person Anshu; 20.12.2018
Удалите из запроса слово «по».
- person RichG; 21.12.2018
Спасибо, Рич ... огромный вам привет!
- person Anshu; 21.12.2018
