Splunk:列出可以访问的索引和来源
Splunk: List indexes and sources to which one has access
使用这个搜索命令
| eventcount summarize=false | dedup index | fields index
我得到了我在 Splunk 中有权访问的所有索引的列表。是否也可以得到除此之外的另一列,其中索引的来源也可见?
编辑: 看来我找到了解决方案:
| tstats count WHERE index=* sourcetype=* source=* by index, sourcetype, source | fields - count
这会返回一个列表,其中包含索引、源类型和源的列。
如果 sources 的读取权限未由 tstats 强制执行,您可以 join 通过 inner 加入 [=15] 到您的原始查询=],限制为您可以看到的索引:
| tstats count WHERE index=* OR index=_* by index source
| dedup index source | fields index source
| join type=inner index [| eventcount summarize=false | dedup index | fields index]
使用这个搜索命令
| eventcount summarize=false | dedup index | fields index
我得到了我在 Splunk 中有权访问的所有索引的列表。是否也可以得到除此之外的另一列,其中索引的来源也可见?
编辑: 看来我找到了解决方案:
| tstats count WHERE index=* sourcetype=* source=* by index, sourcetype, source | fields - count
这会返回一个列表,其中包含索引、源类型和源的列。
如果 sources 的读取权限未由 tstats 强制执行,您可以 join 通过 inner 加入 [=15] 到您的原始查询=],限制为您可以看到的索引:
| tstats count WHERE index=* OR index=_* by index source
| dedup index source | fields index source
| join type=inner index [| eventcount summarize=false | dedup index | fields index]