QIN · Splunk → OpenSearch Import

Subir export de Splunk

Aceptamos CSV, JSON y NDJSON tal como los exporta Splunk con splunk search ... | export csv o desde la UI con "Export → JSON". Mapeamos automáticamente _time → @timestamp, sourcetype → vendor, host → host.name.

Arrastrá un archivo acá o hacé click para seleccionar.

Formato detectado automáticamente. Sin límite duro de tamaño.

Indice destino (prefijo)

Forzar formato (opcional)

HEC-compatible endpoint

Re-apuntá tus Universal Forwarders / agentes que hoy mandan a Splunk HEC hacia esta app. La auth es red-only (Tailscale + UFW) — el token llega en el header pero no se valida.

URL pública

POST https://import.splunk.dev.feres.cl/services/collector
Authorization: Splunk <cualquier-token>
Content-Type: application/json

{ "event": { "msg": "hello" }, "sourcetype": "cisco-asa", "host": "fw01" }

Probar desde acá

Endpoints disponibles

POST /services/collector — event mode (default)
POST /services/collector/event — alias explícito
POST /services/collector/raw?sourcetype=X&host=Y — raw lines
GET /services/collector/health — health check

SPL → OpenSearch DSL / SQL / PPL

Pegá una query SPL y obtené su traducción aproximada. Cubre ~80% de SPL común (search, stats, top, head, sort, where). Marca explícitamente lo no soportado (eval, rex, join, timechart…).

SPL

Warnings

OpenSearch DSL (JSON)

OpenSearch SQL

OpenSearch PPL

Pull desde Splunk REST API

La app se conecta a una instancia Splunk corriente, ejecuta la búsqueda, y bulk-indexa los resultados en OpenSearch. Útil para migración cuando no hay export disponible o cuando queremos reproducir periódicamente una búsqueda.

Splunk URL (managed REST API)

Token (Bearer)

SPL a ejecutar

Earliest

Latest

Indice destino (prefijo)

Jobs

Estado de todos los imports lanzados (bulk uploads + REST pulls). Auto-refresca cada 4s.

id	tipo	archivo / origen	indice	estado	indexed	fail	creado