我很新的采用Splunk,有一个非常基本的问题。 是否有可能使用REST API查询的Splunk不使用已保存的搜索?
谢谢。
Answer 1:
您可以指定搜索字符串作为参数传递给出口端点和得到的结果,而无需在服务器上保存的搜索。
curl -ku admin:changeme https://localhost:8089/servicesNS/admin/search/search/jobs/export -d search="search index%3D_internal | head 3" -d output_mode=csv
output_mode是可选参数。 使用XML是默认值,你还可以指定JSON,CSV或XML。
你也可以使用一个Splunk的软件开发工具包 ,如果你要坚持你的选择的语言。 软件开发工具包让您更轻松交谈的Splunk。
-Neeraj。
文章来源: Search Splunk with Rest API without a saved search
