如何使用 REST API 自动化 Splunk 迭代
How can I automate Splunk iterations using REST API
我一直在寻找一个端点,以便能够在 "Splunk/App Search & Reporting/What to Search" 中获取可用事件的数量
我也希望端点能够通过单击 "Data Summary" 按钮和填充过滤器来获取此类信息。
详情请见附件。我正在寻找一个 REST API 端点,它为我提供了 1703436 号码,我知道这是 "real time",但对任何情况都感兴趣 :)
我正在自动化一些东西,我确实需要这些事件信息以便能够耦合到我的脚本
非常感谢您的关注
an image worth a thousand words
我已经用两个步骤解决了这个问题。
首先创建 | eventcount 的搜索作业,然后检索此作业编号以获得结果。
在伪代码中
job_id = $(curl -u admin:admin -k https://localhost:8089/services/search/jobs -d search='| eventcount' | grep -oP '(?<=<sid>).+(?=<\/)')
curl -u admin:admin -k https://localhost:8089/services/search/jobs/$job_id/results/ --get -d output_mode=csv | grep -oP '\d+'")
我一直在寻找一个端点,以便能够在 "Splunk/App Search & Reporting/What to Search" 中获取可用事件的数量 我也希望端点能够通过单击 "Data Summary" 按钮和填充过滤器来获取此类信息。
详情请见附件。我正在寻找一个 REST API 端点,它为我提供了 1703436 号码,我知道这是 "real time",但对任何情况都感兴趣 :)
我正在自动化一些东西,我确实需要这些事件信息以便能够耦合到我的脚本
非常感谢您的关注
an image worth a thousand words
我已经用两个步骤解决了这个问题。
首先创建 | eventcount 的搜索作业,然后检索此作业编号以获得结果。
在伪代码中
job_id = $(curl -u admin:admin -k https://localhost:8089/services/search/jobs -d search='| eventcount' | grep -oP '(?<=<sid>).+(?=<\/)')
curl -u admin:admin -k https://localhost:8089/services/search/jobs/$job_id/results/ --get -d output_mode=csv | grep -oP '\d+'")