• Karriere
  • Om oss
  • Folk
Norsk
Kontakt oss
  1. Kunnskap
  2. Innsikter
  3. Blogg
Blogg
10.04.2023
min tid å lese

Splunk>Query: 5 måter å liste indekser på

Har du behov for å vite hvilke indekser som finnes i Splunk eller hvilke indekser som en bruker har tilgang til? Vi viser deg 5 ulike måter å liste opp indekser i Splunk med store forskjeller i effektivitet.
<span id="hs_cos_wrapper_name" class="hs_cos_wrapper hs_cos_wrapper_meta_field hs_cos_wrapper_type_text" style="" data-hs-cos-general-type="meta_field" data-hs-cos-type="text" >Splunk>Query: 5 måter å liste indekser på</span>
Sicra_Portrait_Crop_1200x1500px_9480
Erik Feed WieLogg og forensics
Splunk-spesialist med analytiske evner

Tradisjonell spørring 

I en tradisjonell enkel spørring hvor vi spesifiserer hvilke indekser som skal søkes igjennom, ber Splunk fjerne duplikater og setter resultatet opp i en tabell sortert alfabetisk så vil Splunk gå igjennom alle databasefilene til alle indekser som passer med tidsbegrensningen du har satt. 

Kjøringen av dette søket i Splunk Enterprise lab miljø som admin og på siste 24 timer. Oppgir Job inspector i Splunk at dette søket tok 55,078 sekunder. 

Denne spørringen er den tyngste av disse 5 ulike variantene. Og den gir deg en liste på hvilke indekser som er søkbare for brukeren som kjørte søket, men begrenset til der hvor det er indeksert data i den tidsperioden du spesifiserte. 

index=* OR index=_*  
| dedup index
| table index
| sort index

Tstats

Tstats kan være et veldig bra alternativ til et tradisjonelt søk. Ved å bruke et tstats søk istedenfor, søker Splunk kun igjennom indekserte metadata og ikke de faktiske loggene, noe som gir en langt raskere søketid. 

Ved kjøring av dette søket i Splunk Enterprise lab miljø som admin og på siste 24 timer. Oppgir Job inspector i Splunk at dette søket tok kun 0,11 sekunder. 

Som i det tradisjonelle søket så vil tstats søket gi en liste på de indekser som er søkbare for brukeren som kjørte søket. Også her vil resultatet være begrenset til indekser hvor det finnes indekserte data i den spesifiserte tidsperioden. 

| tstats values(sourcetype) where (index=* OR index=_*) by index 
| fields - values(sourcetype)
| sort index

Eventcount

Eventcount er litt som navnet antyder, den returnerer antallet eventer i en spesifikk indeks. Legg til en fields kommando for å si at vi kun ønsker et spesifikt felt i sluttresultatet.  

Ved kjøring av dette søket i Splunk Enterprise lab miljø som admin og på siste 24 timer. Oppgit Job inspector i Splunk at dette søket tok kun 0,024 sekunder. 

Som ved søkene vi har vært igjennom over her så gir også eventcount en oversikt på de indeksene du har tilgang til, men uavhengig om det er indeksert data i de i valgt tidsperiode. Da eventcount returnerer antall eventer så vil den returnere null der hvor det ikke er noen eventer. Og slik så får en også med i listen de indeksene som ikke har data. 

| eventcount summarize=false index=* index=_*  
| fields index

Dbinspect

Dbinspect returnerer informasjon om buckets i den spesifiserte indeksen. Den kan benyttes til å fortelle oss hvilke indekser som har fått eventdata i den valgte tidsperioden. 

Ved kjøring av dette søket i Splunk Enterprise lab miljø som admin og på siste 24 timer. Oppgir Job inspector i Splunk at dette søket tok kun 0,023 sekunder. 

I likhet med overnevte metoder, vil dbinspect gi de indeksene brukeren har tilgang til. I testmiljøet var det dbinspect som ga raskeste resultatet, men nå er det kanskje ikke så viktig når søkene tar brøkdelen av et sekund. 

| dbinspect index=* index=_* 
| fields index

Splunk Rest Api

Rest spørringen krever dispatch_rest_to_indexers rettigheten i Splunk. Denne rettigheten er som standard kun skrudd på for admin rollen i Splunk Enterprise, men den er som standard IKKE skrudd på for sc_admin rollen i Splunk Cloud. 

Ved kjøring av dette søket i Splunk Enterprise lab miljø som admin og på siste 24 timer. Oppgir Job inspector i Splunk at dette søket tok kun 0,044 sekunder. 

I motsetning til de overnevnte søkene, gir rest spørringen samtlige indekser og ikke bare de som brukeren har tilgang til.  

| rest splunk_server=* /services/data/indexes 
| fields title

Les mer

SOC-as-a-Service: Dilemma
Blogg

SOC-as-a-Service: Dilemma

Lær mer om SOC-tjenesters skjulte kostnader.
85% av CEO-er: Cybersikkerhet nøkkelen til vekst i 2025, men hvor skal man starte?
Blogg

85% av CEO-er: Cybersikkerhet nøkkelen til vekst i 2025, men hvor skal man starte?

Fagblogg
Cybersikkerhet
85 % av CEO-er sier cybersikkerhet er kritisk for vekst. Les hvor du bør starte – og hvordan Sicra kan hjelpe.
Hvorfor moderne SOC er viktig for NSM, GDPR og ny digital sikkerhetslov
Blogg

Hvorfor moderne SOC er viktig for NSM, GDPR og ny digital sikkerhetslov

Fagblogg
Cybersikkerhet
Finn ut hvorfor et moderne SOC er avgjørende for NSM, GDPR og ny sikkerhetslov.
NTLM svakheter og responsmuligheter
Blogg

NTLM svakheter og responsmuligheter

Fagblogg
Cybersecurity
NTLM svakheter kan utnyttes eksternt og krever lite brukerinteraksjon.

Skreddersydd cybersikkerhet for virksomheter og institusjoner – så dere kan vokse, innovere og jobbe uten bekymringer.

Ta kontaktRing oss +47 648 08 488
Hold deg oppdatert
Motta siste nytt fra Sicra

Linker
BærekraftFAQPartnereSertifiseringerKarrierePresse
Kontakt

Tel: +47 648 08 488
E-post: firmapost@sicra.no

Rosenholmveien 25, 1414
Trollåsen. Norge

Følg oss på LinkedIn
Sertifiseringer
iso27001-white
ISO 27001
miljofyrtarnlogo-hvit-rgb
Miljøfyrtårn
Sicra © 2025
Personvern