Q1: Splunk GeoIP 內部網路的基資更新?
Q2: Dashborad做好後,維運值班人員 VS 查處過程?即時監控?
Q3: SPL的寫作平台?還是直接在Command下?
Q4: SPL裡對於等號與等於運算子是否有區別?
Q5: 每一分鐘定期來註冊的log, 我應該要怎麼繪製圖表?timechart?
另一個方式是每一分鐘給訂一個數值,用table去替代畫圖。
Q6: 想儲存的每一位使用的檔案傳輸大型、決定一個baseline,該怎麼做?
Q7: Splunk License的檢索量是如何計算的?
Q8: 尋找在一個範圍內,短時間大量新增的案件。
Good:
1. max,min,avg,latest (byes) -> 網管人員的統計分析
stats count avg(bytes) min(bytes) sum(bytes) latest(bytes) by clientip
2. chart count over useragent by categoryId
count over可以指定哪一個fields作為x-axis座標軸
3. Sub Search, correlation search
sourcetype="access_combined_wcookie" status=200 AND action=purchase status=200 action=purchase [search sourcetype="access_combined_wcookie" status=200 AND action=purchase status=200 action=purchase | top 1 clientip | table clientip] | stats count dc(productId) values(productId) list(productId) by clientip
subserch: 將搜尋的結果丟給大搜尋
table clientip:?
4. lookup進去之後,就不是單純的數據分析(網管),而是商業營運智慧分析。
5. inputlookup 可以確認上傳後的csv檔案是否成功上傳、顯示
6. lookup:
查詢輸入欄位
7. iplocation clientip | geostats count by categoryId
0 意見:
張貼留言