sourcetype=”來源型態” | rex “(?i) .? User (?P<pop3_failed_id>[^.]+) login failed.” | search pop3_failed_id=”” | transaction 判斷資訊 maxevents=2000 keepevicted=true | concurrency duration=duration | eval duration=tostring(duration,”duration”)
原理有點像是將所有事件跑過一次,然後把相近時間的判斷資訊放在同一筆事件中
一般預設單筆事件僅顯示500筆資訊
但是有時候可能會是好幾萬筆資訊就會被拆成好幾筆事件,將造成事件數字判讀上的不便
因此可以進行下面的動作
- 將
/opt/splunk/etc/apps/search/default/data/ui/views/flashtimeline.xml
檔案複製到
/opt/splunk/etc/apps/search/local/data/ui/views/flashtimeline.xml
- 編輯
/opt/splunk/etc/apps/search/local/data/ui/views/flashtimeline.xml
搜尋
在下面插入
數字
會變成
數字
full
report_builder_format_report
原廠建議數字不要超過1000,以免造成系統負擔過重,但實際還是請視需要調整
- 重新啟動Splunk
這樣應該就可以把很多筆資訊塞到一筆事件中了