Splunk后处理时间图表显示“;“未找到结果”;在仪表板中,但查询本身就可以了
我有一个简单的XMLSplunk仪表板,其中包含一个基本查询和两个从基本查询继承的后处理查询。但是,当我加载仪表板时,它总是显示“未找到任何结果”。当我单击“在搜索中打开”按钮时,结果将按预期显示。另外,当我从基本搜索中取出整个搜索并将其放入两个面板中时,图表会按预期显示。有人知道这是怎么回事吗 以下是不起作用的仪表板xml:Splunk后处理时间图表显示“;“未找到结果”;在仪表板中,但查询本身就可以了,splunk,Splunk,我有一个简单的XMLSplunk仪表板,其中包含一个基本查询和两个从基本查询继承的后处理查询。但是,当我加载仪表板时,它总是显示“未找到任何结果”。当我单击“在搜索中打开”按钮时,结果将按预期显示。另外,当我从基本搜索中取出整个搜索并将其放入两个面板中时,图表会按预期显示。有人知道这是怎么回事吗 以下是不起作用的仪表板xml: <dashboard> <label>Test Dashboard</label> <description&g
<dashboard>
<label>Test Dashboard</label>
<description>This is a test</description>
<search id="base">
<query>
index=app sourcetype=tracelog splunk_server_group=prod
eventName=business:Logout
(NOT description="*invalid username or password*")
NOT code="6703" NOT code="6704" NOT "code=8006" NOT "code=6900" NOT "code=6000"
</query>
</search>
<row>
<panel>
<title>Test chart 1</title>
<chart>
<search base="base">
<query>
search success=false AND agent=true | timechart count by errors
</query>
</search>
<option name="charting.chart.stackMode">stacked</option>
<option name="charting.chart">column</option>
</chart>
</panel>
</row>
<row>
<panel>
<title>Test chart 2</title>
<chart>
<search base="base">
<query>
search success=false AND agent=false | timechart count by errors
</query>
</search>
<option name="charting.chart.stackMode">stacked</option>
<option name="charting.chart">column</option>
</chart>
</panel>
</row>
</dashboard>
测试仪表板
这是一个测试
index=app sourcetype=tracelog splunk\u server\u group=prod
eventName=业务:注销
(非description=“*无效用户名或密码*”)
NOT code=“6703”NOT code=“6704”NOT“code=8006”NOT“code=6900”NOT“code=6000”
测试图1
搜索成功=false和代理=true |按错误计数的时间图表
堆叠
柱
测试图2
搜索成功=错误和代理=错误|按错误计数的时间图表
堆叠
柱
<dashboard>
<label>Test Dashboard</label>
<description>This is a test</description>
<row>
<panel>
<title>Test chart 1</title>
<chart>
<search>
<query>
index=app sourcetype=tracelog splunk_server_group=prod
eventName=business:Logout
(NOT description="*invalid username or password*")
NOT code="6703" NOT code="6704" NOT "code=8006" NOT "code=6900" NOT "code=6000"
| search success=false AND agent=true | timechart count by errors
</query>
</search>
<option name="charting.chart.stackMode">stacked</option>
<option name="charting.chart">column</option>
</chart>
</panel>
</row>
<row>
<panel>
<title>Test chart 2</title>
<chart>
<search>
<query>
index=app sourcetype=tracelog splunk_server_group=prod
eventName=business:Logout
(NOT description="*invalid username or password*")
NOT code="6703" NOT code="6704" NOT "code=8006" NOT "code=6900" NOT "code=6000"
| search success=false AND agent=false | timechart count by errors
</query>
</search>
<option name="charting.chart.stackMode">stacked</option>
<option name="charting.chart">column</option>
</chart>
</panel>
</row>
</dashboard>
测试仪表板
这是一个测试
测试图1
index=app sourcetype=tracelog splunk\u server\u group=prod
eventName=业务:注销
(非description=“*无效用户名或密码*”)
NOT code=“6703”NOT code=“6704”NOT“code=8006”NOT“code=6900”NOT“code=6000”
|搜索成功=false和代理=true |按错误计数的时间图表
堆叠
柱
测试图2
index=app sourcetype=tracelog splunk\u server\u group=prod
eventName=业务:注销
(非description=“*无效用户名或密码*”)
NOT code=“6703”NOT code=“6704”NOT“code=8006”NOT“code=6900”NOT“code=6000”
|搜索成功=错误和代理=错误|按错误计数的时间图表
堆叠
柱
有什么想法吗?我在这里遗漏了什么吗?问题是,所提到的基本搜索是非转换搜索,splunk会忘记后期处理中的字段 在上述情况下,基本搜索必须更改为
<query>
index=app sourcetype=tracelog splunk_server_group=prod
eventName=business:Logout
(NOT description="*invalid username or password*")
NOT code="6703" NOT code="6704" NOT "code=8006" NOT "code=6900" NOT "code=6000"
| fields success agent errors
</query>
index=app sourcetype=tracelog splunk\u server\u group=prod
eventName=业务:注销
(非description=“*无效用户名或密码*”)
NOT code=“6703”NOT code=“6704”NOT“code=8006”NOT“code=6900”NOT“code=6000”
|字段成功代理错误
| table*|fields