Splunk Enterprise Security

グラステーブルのAd hoc Searchで"invalid search or missing required fields for thresholding"というエラーが表示される

croissant
Explorer

グラステーブルを自分で作ってみたいと思い、既存のアイテムと同じ設定を使いましたが、Viz Typeの種類によってエラーが表示されます。

例えば、"Web Browser"グループにある"Web - Source Count"を参考にして、サーチや閾値フィールドの設定など、同一にして"Ad hoc Search"として新たに登録しましたが、エラーが表示されます。なぜでしょうか?

0 Karma
1 Solution

croissant
Explorer

これは、既知のアイテムをグラステーブルに貼り付け時に、内部でマクロ等のサーチが走っているためです。これらのサーチは当然"Ad hoc Search"では実行されないため、エラーが発生します。(このサーチはサーチ文の設定に表示されません。)

こちらは既知の事象ですが、現時点で特に改善される予定はありません。既存のアイテムと同じ動きのあるアイテムをご使用される際は、"Ad hoc Search"を使わずに、既知のアイテムを流用するようにしてください。

View solution in original post

0 Karma

croissant
Explorer

これは、既知のアイテムをグラステーブルに貼り付け時に、内部でマクロ等のサーチが走っているためです。これらのサーチは当然"Ad hoc Search"では実行されないため、エラーが発生します。(このサーチはサーチ文の設定に表示されません。)

こちらは既知の事象ですが、現時点で特に改善される予定はありません。既存のアイテムと同じ動きのあるアイテムをご使用される際は、"Ad hoc Search"を使わずに、既知のアイテムを流用するようにしてください。

0 Karma
Get Updates on the Splunk Community!

Index This | I am a number, but when you add ‘G’ to me, I go away. What number am I?

March 2024 Edition Hayyy Splunk Education Enthusiasts and the Eternally Curious!  We’re back with another ...

What’s New in Splunk App for PCI Compliance 5.3.1?

The Splunk App for PCI Compliance allows customers to extend the power of their existing Splunk solution with ...

Extending Observability Content to Splunk Cloud

Register to join us !   In this Extending Observability Content to Splunk Cloud Tech Talk, you'll see how to ...