Estou usando o Splunk 3.4.10 com a licença gratuita em uma máquina do CentOS. Eu criei uma pesquisa de formulário salva chamada "Trace Mail" que espero usar para rastrear uma única mensagem em meus servidores de e-mail, à medida que obtém novos IDs de filas. Agora, esta pesquisa de formulário funcionou até ontem, agora quando eu tento executá-lo um erro de Splunk é registrado que diz "Erro ao substituir o nome da variável=" foo ". Não foi possível encontrar a variável no mapa de argumentos."
A sintaxe atual da minha pesquisa salva é: ID=": $ first $:" OR ID=": $ second $:" onde ID é um campo extraído.
Quando eu usei ID=": $ primeiro $:" A pesquisa é concluída corretamente, retornando todos os resultados esperados. Alguém mais experimentou isso?
É melhor você perguntar sobre isso nos fóruns do Splunk. Não existem muitas pessoas ao redor que usam splunk, então você quer se concentrar na comunidade certa.
No mínimo, você precisará dizer a eles qual servidor de e-mail você está usando e as transformações, props e pesquisa completa salva no servidor splunk. Alguns trechos de registro também seriam úteis.
Acontece que, depois de mais pesquisas e testes, a pesquisa de formulários não manipula bem os campos vazios. Eu não consegui descobrir nenhuma maneira de contornar esse problema além de colocar algo nos campos anteriormente vazios.
Tags splunk