Splunk Enterprise Security

グラステーブルのAd hoc Searchで"invalid search or missing required fields for thresholding"というエラーが表示される

croissant
Explorer

グラステーブルを自分で作ってみたいと思い、既存のアイテムと同じ設定を使いましたが、Viz Typeの種類によってエラーが表示されます。

例えば、"Web Browser"グループにある"Web - Source Count"を参考にして、サーチや閾値フィールドの設定など、同一にして"Ad hoc Search"として新たに登録しましたが、エラーが表示されます。なぜでしょうか?

0 Karma
1 Solution

croissant
Explorer

これは、既知のアイテムをグラステーブルに貼り付け時に、内部でマクロ等のサーチが走っているためです。これらのサーチは当然"Ad hoc Search"では実行されないため、エラーが発生します。(このサーチはサーチ文の設定に表示されません。)

こちらは既知の事象ですが、現時点で特に改善される予定はありません。既存のアイテムと同じ動きのあるアイテムをご使用される際は、"Ad hoc Search"を使わずに、既知のアイテムを流用するようにしてください。

View solution in original post

0 Karma

croissant
Explorer

これは、既知のアイテムをグラステーブルに貼り付け時に、内部でマクロ等のサーチが走っているためです。これらのサーチは当然"Ad hoc Search"では実行されないため、エラーが発生します。(このサーチはサーチ文の設定に表示されません。)

こちらは既知の事象ですが、現時点で特に改善される予定はありません。既存のアイテムと同じ動きのあるアイテムをご使用される際は、"Ad hoc Search"を使わずに、既知のアイテムを流用するようにしてください。

0 Karma
Get Updates on the Splunk Community!

.conf24 | Day 0

Hello Splunk Community! My name is Chris, and I'm based in Canberra, Australia's capital, and I travelled for ...

Enhance Security Visibility with Splunk Enterprise Security 7.1 through Threat ...

 (view in My Videos)Struggling with alert fatigue, lack of context, and prioritization around security ...

Troubleshooting the OpenTelemetry Collector

  In this tech talk, you’ll learn how to troubleshoot the OpenTelemetry collector - from checking the ...