Splunk: список индексов и источников, к которым у вас есть доступ

Используя эту команду поиска

| eventcount summarize=false | dedup index | fields index

Я получаю список всех индексов, к которым у меня есть доступ в Splunk. Можно ли получить еще один столбец помимо этого, в котором также виден источник индекса?

РЕДАКТИРОВАТЬ: Похоже, я нашел решение:

| tstats count WHERE index=* sourcetype=* source=* by index, sourcetype, source | fields - count

Это возвращает список со столбцами для индексов, типов источников и источников.


splunk splunk-query
person Tobitor    schedule 20.01.2021    source источник

Ответы (1)


arrow_upward
0
arrow_downward

В случае, если разрешения на чтение sources не применяются tstats, вы можете join к исходному запросу с inner соединением на index, чтобы ограничить индексами, которые вы видите:

| tstats count WHERE index=* OR index=_* by index source 
| dedup index source | fields index source 
| join type=inner index [| eventcount summarize=false | dedup index | fields index]
person Mads Hansen    schedule 20.01.2021