我对 Splunk 比较陌生,我正在尝试创建一个报告,该报告将显示主机名以及主机在过去五分钟内失败登录的次数,当时它们失败了 3 次或更多次。我能够获得我想要的初始搜索结果的唯一方法是只查看过去 5 分钟内的内容,正如您在我的查询中看到的那样:
index="wineventlog" EventCode=4625 earliest=-5min | stats count by host,_time | stats count by host | search count > 2
这将返回主机和计数。问题是,如果我在报表中使用此查询,它可以每五分钟运行一次,但之前列出的主机将被删除,因为它们不再包含在搜索结果中。
我找到了生成日志的方法,然后我可以单独搜索(http://docs.splunk.com/Documentation/Splunk/6.6.2/Alert/LogEvents(,但它没有按照我预期的方式工作。
我正在寻找这些问题的答案,可以帮助我获得预期的结果:
- 是否可以改进我的原始搜索,使其仍然只获得 5 分钟内登录失败的结果,但能够在任何时间段内进行搜索?
- 有没有办法将我已经拥有的查询中的结果发送到报表,再次运行搜索时不会清除结果?
- 还有我没有考虑过的其他选择来达到预期的结果吗?
如果您只关心最后 5 分钟,则只搜索最后 5 分钟。 搜索更多只是浪费资源。
请考虑使用计划搜索将结果写入汇总索引(使用 collect(,并让报表/仪表板显示汇总索引中的值。