Splunk: запрос, когда тот же пользователь с именем той же конечной точки менее чем за 30 минут друг от друга

на основе следующих записей:Splunk: запрос, когда тот же пользователь с именем той же конечной точки менее чем за 30 минут друг от друга

ORDER=entry1 USER=user1 EP=endpoint1 TIME=10:00 
ORDER=entry2 USER=user2 EP=endpoint1 TIME=10:01 
ORDER=entry3 USER=user1 EP=endpoint1 TIME=10:05 
ORDER=entry4 USER=user2 EP=endpoint1 TIME=11:00

Я хочу написать запрос Splunk, которые были бы перечислены все вызовы endpoint1 одним и тем же пользователем , в интервале менее 30 минут.

Выходной сигнал запроса будет

ORDER=entry3 USER=user1 EP=endpoint1 TIME=10:05

, потому что только entry3 делается одним и тем же пользователем, чтобы этой конечной точке в интервале, который меньше, чем за 30 минут.

Я пробовал написать запрос, но я не знаю, как сделать его для общего пользователя. Мои запросы работают, но они предназначены для конкретного пользователя.

Как я могу сделать его общим?

источник

2017-02-05 Alexandre Santos

Как я получил это путем добавления виртуального поля, которое является конкатенация USER и ЕР, как указано в этом документе Doc: https://answers.splunk.com/answers/33738/concatenate-fields-into-a-single-string.html

Запрос я придумал был:

"endpoint1" | eval USEREP = USER.";".EP | transaction USER maxspan=30min

источник

2017-02-07 00:39:48

Splunk: запрос, когда тот же пользователь с именем той же конечной точки менее чем за 30 минут друг от друга

ответ

Смежные вопросы