我对使用Splunk非常陌生,并且有一个非常基本的问题。是否可以使用REST API来查询Splunk,而无需使用已保存的搜索?
谢谢。
最佳答案
您可以将搜索字符串指定为export端点的参数,而无需在服务器上保存搜索即可获取结果。
curl -ku admin:changeme https://localhost:8089/servicesNS/admin/search/search/jobs/export -d search="search index%3D_internal | head 3" -d output_mode=csv
output_mode是可选参数。使用xml作为默认值,您还可以指定json,csv或xml。
如果您要坚持自己选择的语言,也可以使用Splunk SDKs之一。 SDK使您更轻松地与Splunk对话。
-Neeraj。
关于splunk - 使用Rest API搜索Splunk,无需保存搜索,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/13368407/