Splunk模拟显示源按钮

Question

我正在尝试编写一个脚本，从我的splunk企业帐户获取有效负载。我使用BeautifulSoup来解决这个问题(splunk-sdk对我不起作用，可能是因为没有管理员访问权限)。我从这里开始遵循代码(http://www.emalis.com/2018/11/python-script-that-uses-splunk-web-log-to-authenticate-then-searches-splunk-logs-non-admin-user-using-requests/)。

我尝试了各种搜索词，其中一个对我很有效：post_search_body = {'search': "search <request> request received earliest=-30hours"}。然而，我想进入其中一个结果的显示源按钮，从那里获得所有的结果，并从中选择一些结果。端点如下所示：

https://splunk.splunkcompany.com/en-US/app/search/show_source?sid=<sid>&offset=1&lates

有没有人能建议我们怎么做？

Answer 1

与大多数(如果不是全部) Splunk UI一样，它也是由REST命令支持的。有一篇关于Show Source特性的很好的描述，它是由https://community.splunk.com/t5/Archive/no-of-events-in-show-source-view/td-p/94355的一位前Splunker编写的