我有一个用例来编写一个splunk查询,以在折线图或面积图中显示IAM用户在过去一年中在组织趋势中唯一和初始的AWS访问密钥使用情况。管理层希望能够随着时间的推移直观地显示增加的云采用数量。关于如何显示此的任何想法?我觉得我的统计数据差不多到了,但是还不够。
index = blah sourcetype = blah user_type = SAMLuser |最早的统计信息(eventTime)由userIdentity.userName
这几乎使我到了那里,但是它不会在漂亮的折线图中描述统计信息。
谢谢!
您的开端很好。该stats命令为您提供了每个用户的初始密钥用法。要获得趋势,请绘制一段时间内每天使用的键的数量。
index=blah sourcetype=blah user_type=SAMLuser
| stats earliest(eventTime) as _time by userIdentity.userName
| timechart span=1d dc(userIdentity.userName) as Users
as _time子句确保timechart具有所需的_time字段。