sourcetype=”來源型態” | rex “(?i) .? User (?P<pop3_failed_id>[^.]+) login failed.” | search pop3_failed_id=”” | transaction 判斷資訊 maxevents=2000 keepevicted=true | concurrency duration=duration | eval duration=tostring(duration,”duration”)
原理有點像是將所有事件跑過一次,然後把相近時間的判斷資訊放在同一筆事件中
一般預設單筆事件僅顯示500筆資訊
但是有時候可能會是好幾萬筆資訊就會被拆成好幾筆事件,將造成事件數字判讀上的不便
因此可以進行下面的動作
- 將
|
1 |
/opt/splunk/etc/apps/search/default/data/ui/views/flashtimeline.xml |
檔案複製到
|
1 |
/opt/splunk/etc/apps/search/local/data/ui/views/flashtimeline.xml |
- 編輯
|
1 |
/opt/splunk/etc/apps/search/local/data/ui/views/flashtimeline.xml |
搜尋
|
1 |
<module name="EventsViewer" layoutPanel="resultsAreaLeft"> |
在下面插入
|
1 |
<param name="maxLinesConstraint">數字</param> |
會變成
|
1 2 3 4 5 6 7 8 9 |
<module name="EventsViewer" layoutPanel="resultsAreaLeft"> <param name="maxLinesConstraint">數字</param> <param name="segmentation">full</param> <param name="reportFieldLink">report_builder_format_report</param> </module> |
原廠建議數字不要超過1000,以免造成系統負擔過重,但實際還是請視需要調整
- 重新啟動Splunk
這樣應該就可以把很多筆資訊塞到一筆事件中了