将脚本构建到
a( 检查splunk 中所有查找文件的大小
b( 如果大小超过特定阈值,请下载csv文件
c( 删除查找文件或重新创建一个伪查找文件
没有内置的方法来获取SPL中查找文件的大小。您可以使用inputlookup读取文件,并通过将每个字段的长度相加来计算大小,记住要考虑分隔符和标头。您可以根据定义的限制来测试计算的大小,但没有基于此类测试结果更改查询行为的功能。这在shell脚本中要容易得多。你想解决什么问题?
您可以通过REST命令,点击查找表文件的端点来获得它。查看此处的文档:https://docs.splunk.com/Documentation/SplunkCloud/latest/RESTREF/RESTknowledge#data.2Fprops.2Flookups
举个例子,试试这个搜索:
| rest splunk_server=local /services/data/lookup-table-files/
| rename eai:acl.app as app
| table app title
| search NOT title IN (*.kmz)
| map maxsearches=990 search="| inputlookup $title$
| eval size=0
| foreach * [ eval size=size+coalesce(len('<<FIELD>>'),0), app="$app$", title=$title$ | fields app title size]"
| stats sum(size) by app title
| sort - sum(size)
(我在尝试做同样的事情时发现https://www.pixelchef.net/find-size-lookup-files-splunk-web,对我有效(