Splunk到Elasticsearch数据模型翻译

Question

我试图将Splunk搜索转换为Elasticsearch搜索。我遇到的一个问题是如何处理Splunk的数据模型。我将如何将Splunk中特定数据模型的搜索转换为Elasticsearch搜索？

例如，在Splunk的搜索： tstats summariesonly =从数据模型=“网络” T计数........

会是什么Elasticsearch等同于“网络执行搜索“datamodel？

任何帮助，无论多小帮助确实。谢谢

Answer 1

在搜索中打开查询并使用搜索检查器。检查员会告诉您知道哪个查询splunk实际执行。

虽然tstats搜索索引时间字段，但您必须重现所有数据模型字段和聚合（即数据模型加速），如果可能的话，这不是一件容易的事情。