#splunk
#splunk
Вопрос:
У меня есть панель управления Splunk, где у вас есть таблица с выбранными кодированными идентификаторами.
Вы можете щелкнуть строку и выбрать идентификатор в качестве токена, который заполняет дополнительные поля данными. Теперь в интрасети моей компании у нас есть URL-адрес, где вы можете ввести закодированный идентификатор и получить обратно декодированные данные в запросе GET.
Прямо сейчас у меня есть поле с одним значением, в котором отображается закодированный идентификатор, и когда вы нажимаете на него, оно вызывает декодер и открывает декодированный результат на новой вкладке. Это стандартная ссылка Splunk.
Можно ли заставить Splunk автоматически вызывать URL-адрес (выполнять запрос GET) при выборе идентификатора (установлен токен) и извлекать данные ответа в виде строки и извлекать (используя регулярное выражение) и автоматически отображать декодированные данные в поле с одним значением?
Если нет, возможно ли, по крайней мере, чтобы Splunk получал данные ответа в виде строки вместо открытия результата на новой вкладке при нажатии на закодированный идентификатор?
Ответ №1:
Если я вас правильно понял, вы хотите, чтобы целью детализации была внешняя ссылка.
Если это правильно, просто поместите внешний URL-адрес в детализацию: 
Если вы хотите, чтобы какое-то значение из внешней ссылки было перенесено в Splunk, вам нужно настроить другой механизм.
Например, у вас может быть скриптовый ввод, который будет запрашивать внешнюю конечную точку и добавлять результаты в индекс или таблицу поиска.
Или вы можете использовать приложение конечной точки REST для достижения чего-то подобного.
Комментарии:
1. То, что я хочу, действительно является вторым пунктом. Я подумал, что это будет не так просто, если я не смогу найти простые ответы с помощью поиска. Спасибо за ответ, я буду глубже изучать возможности.