Amazon web services 编写Splunk查询-Cloudtrail中初始访问密钥使用的唯一计数
我有一个用例,可以编写一个splunk查询,在折线图或面积图中显示IAM用户在过去一年的组织趋势中使用的唯一和初始AWS访问密钥。管理层希望能够直观地显示随着时间的推移越来越多的云应用数量。关于如何展示这个有什么想法吗?我觉得我的统计数据已经差不多了,但还不够 index=blah sourcetype=blah user_type=SAMLuser |按userIdentity.userName统计最早(事件时间) 这几乎让我达到了目的,但它不会在一个漂亮的折线图中描述统计数据Amazon web services 编写Splunk查询-Cloudtrail中初始访问密钥使用的唯一计数,amazon-web-services,cloud,splunk,splunk-query,Amazon Web Services,Cloud,Splunk,Splunk Query,我有一个用例,可以编写一个splunk查询,在折线图或面积图中显示IAM用户在过去一年的组织趋势中使用的唯一和初始AWS访问密钥。管理层希望能够直观地显示随着时间的推移越来越多的云应用数量。关于如何展示这个有什么想法吗?我觉得我的统计数据已经差不多了,但还不够 index=blah sourcetype=blah user_type=SAMLuser |按userIdentity.userName统计最早(事件时间) 这几乎让我达到了目的,但它不会在一个漂亮的折线图中描述统计数据 谢谢 你有了一
谢谢 你有了一个好的开始。该
stats
命令可获取每个用户的初始密钥使用情况。要获得趋势,请绘制一段时间内每天使用的键数
index=blah sourcetype=blah user_type=SAMLuser
| stats earliest(eventTime) as _time by userIdentity.userName
| timechart span=1d dc(userIdentity.userName) as Users
as\u time
子句确保timechart
具有所需的\u时间字段