1. bucket損壞?
2. Splunk搜尋到的事件,結合工單或稽核?
3. 時間比較
4. useother=f limit=0 跑timechart多筆資料
5. 如何得知兩張折線圖的差異?一致?
6. _time understood time, _indextime 檢索時間
7. forwarder的管理
8. timechart span=1h == bucket _time span=1h
9. 教育訓練?資源
10. 即時監控面板的擺放:single value, timechart, statsistic table,
11. search command | rare punct : 找不常出現的紀錄
12. search command | cluster showcount=t t=0.5 | table _time, cluster_count, cluster_label, _raw | sort + cluster_count
13. serarch command | transaction maxpause=1s | where evebtcount > 100
等於 stats list (...) by time
可以利用transaction的data model的離峰時段。
0 意見:
張貼留言