我需要列出 SPLUNK 中的活跃用户以及他们创建的报告、仪表板和用例。
我尝试了下面的查询,但它只给出了用户和角色的列表
|rest /services/authentication/users splunk_server=local |字段标题角色realname|将标题重命名为userName|将realname重命名为Name
正如您所发现的,需要多个命令才能获取您寻求的所有信息。当前查询获取用户列表。接下来,获取报告、仪表板、警报和其他知识对象的列表,并将它们与用户列表相关联。
要获取报告和警报列表:
| rest /servicesNS/-/-/saved/searches
获取仪表板列表:
| rest /servicesNS/-/-/data/ui/views
关联所有结果:
| rest /services/authentication/users splunk_server=local |fields title roles realname|rename title as userName|rename realname as Name
| append [ | rest /servicesNS/-/-/data/ui/views | fields eai:acl.owner label eai:acl.app eai:userName | rename eai:userName as userName, eai:acl.app as app }
| append [ | rest /servicesNS/-/-/saved/searches | fields eai:acl.owner title eai:acl.app | rename eai:acl.owner as userName, eai:acl.app as app ]
| stats values(*) as * by userName