Splunk to Elasticsearch 데이터 모델 번역

Question

Splunk 검색을 Elasticsearch 검색으로 변환하려고합니다. 하나의 문제는 Splunk의 데이터 모델과 관련이 있습니다. Splunk의 특정 datamodel에서 검색을 Elasticsearch 검색으로 전송하는 방법은 무엇입니까? 예를 들어

하는 인 Splunk의 검색 : tstats summariesonly = 데이터 모델 = "웹"에서 T 카운트 ........

"웹에서 검색을 수행하기 Elasticsearch에 해당 될 것입니다 무엇 "데이터 모델?

아무리 작은 도움이라도 도움이됩니다. 감사합니다.

Answer 1

검색에서 검색어를 열고 검색 속성을 사용하십시오. 관리자는 쿼리 스 랭크가 실제로 실행되었음을 알 수 있습니다.

tstats은 인덱스 시간 필드를 검색하지만 모든 데이터 모델 필드와 집계 (즉, 데이터 모델 가속화)를 재생해야하며 가능하면이 작업을 쉽게 수행 할 수 없습니다.