Splunk中base search的使用

已于 2022-07-06 15:08:09 修改
阅读量832 收藏
点赞数
分类专栏: Splunk 文章标签: splunk 大数据
于 2021-03-18 18:26:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/QYHuiiQ/article/details/114987433
版权
本文详细介绍了Splunk中的基础搜索功能,包括如何使用base search进行数据查询、过滤和聚合操作,帮助用户更好地理解和利用大数据分析工具Splunk进行日志管理和业务洞察。
摘要由CSDN通过智能技术生成 
在dashbaord中有时可能多个panel里会使用一些共同的源数据,这时我们可以把这些查询共同数据的代码提取出来作为base search,然后在各个panel spl里引用。
eg:
定义base search:
<search id="baseSearchForStudent">     //这里要指定id,后面才可以引用这个id
    <query>
        index="aaa" sourcetype="bbb" ...     //将公共的查询语句写在这里
    </query>
    <earliest>0</earliest>
    <latest></latest>                       //这里根据自己的业务情况来指定查询的时间范围,这里定义的是all time。需要注意的是这里必须指定time range,否则在后面引用的时候再指定各自panel的time range时会报错。
</search>


引用base search:
<search base="baseSearchForStudent">     //这里的base值就是前面定义的base search的id,表示引用指定的base search
    <query>
        | eval age=..... | ...         //在具体的panel中query直接接着base search后面的语句写就可以了,这里就是针对各自业务逻辑写的差异化的spl
    </query>
</search>


使用splunk base search的缺点就是这个spl片段只能是作为引用的前半部分,也就是说在panel中引用时只能把base search放在前面作为基础代码,不可以在spl中间引用base search,这和我们通常使用的数据库中的sql片段的使用有些差别。

QYHuiiQ
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
订阅专栏
Splunk search命令
QYHuiiQ
03-06 2146
splunk的| search命令我们可能想要对base search的数据和子查询的数据进行一个筛选,比如说将base search某个字段与子查询某个字段进行对比筛选,一下面的测试为例: | base search ... ... | search [| inputlookup test.csv | fields name,age] #该例表明对base search数据的name和age字段与inputlookup的name和age进行对比,筛选出base sea
【优化】Splunk 编写高效 查询语句
最新发布
shenghuiping2001的专栏
11-23 1011
从一个实际例子来优化查询Splunk SPL 语句。
Splunk 数据库App和Add-on整理总结
ffjl1985的专栏
11-24 3541
Splunk数据库 App和Add-on Oracle Add-on: https://splunkbase.splunk.com/app/1910 Splunk用于Oracle数据库的插件允许Splunk软件管理员从Oracle数据库服务器收集和提取数据。 该附加组件可以通过监视安装了Oracle数据库服务器的操作系统上的标准和精细审计跟踪,跟踪文件,事件,警报,侦听器和其他日志来直接导
Splunk大数据分析经验分享:从入门到夺门而逃
weixin_33701564的博客
04-25 3573
2019独角兽企业重金招聘Python工程师标准>>> ...
Splunk系列:Splunk搜索分析篇(四)
03-18 5878
一、简单概述Splunk 平台的核心就是 SPL,即 Splunk 搜索处理语言。它提供了非常强大的能力,通过简单的SPL语句就可以实现对安全分析场景的描述。这里,我们以Linux sec...
splunk官方文档学习笔记【安装,添加数据,搜索功能,管道命令】这一篇带你了解splunk
m0_48325361的博客
08-23 2843
文章目录前言一、splunk介绍1.安装2.添加数据二、splunk搜索功能1.匹配搜索2.字段搜索3.管道命令(|)4.子搜索([]) 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、splunk介绍 1.安装 2.添加数据 二、splunk搜索功能 1.匹配搜索 2.字段搜索 3.管道命令(|) 4.子搜索([]) ...
Splunk安装和使用
热门推荐
spark的自由牧场的博客
03-30 2万+
Splunk Splunk概念 Splunk 是机器数据的引擎。使用 Splunk 可收集、索引和利用所有应用程序、服务器和设备(物理、虚拟和云)生成的快速移动型计算机数据 。从一个位置 搜索并分析所有实时和历史数据。 使用 Splunking 处理计算机数据,可让您在几分钟内(而不是几个小时或几天)解决问题和调查安全事件。监视您的端对端基础结构,避免服务性能降低或断。
splunk 搜索语法
weixin_34273481的博客
01-10 5287
2019独角兽企业重金招聘Python工程师标准>>> ...
SPLUNK8.2.0文手册
03-18
1. **性能调优**:学习如何调整SPLUNK实例的配置以优化性能,包括索引大小、内存使用和搜索性能。 2. **数据保留策略**:根据业务需求设定数据保留期限,避免不必要的存储开销。 3. **升级与维护**:了解如何进行...
SPLUNK 50文手册.pdf
04-09
SPLUNK 50文手册.pdfSPLUNK 50文手册.pdfSPLUNK 50文手册.pdfSPLUNK 50文手册.pdfSPLUNK 50文手册.pdfSPLUNK 50文手册.pdf
splunk搜索手册(文)
09-01
splunk搜索手册(文): 该手册介绍 Splunk 搜索以及如何使用 Splunk 搜索处理语言。 如果您之前未使用Splunk Enterprise 和搜索,可以从“搜索教程”开始。搜索教程介绍搜索和报表应用,逐步指导您 添加数据、搜索数据、构建简单报表和仪表板。
splunk 7.0 文手册
04-09
本手册是针对Splunk 7.0版本的文版,提供了详尽的操作指南和参考资料,帮助用户更好地理解和使用这个平台。以下是基于该手册的一些关键知识点: 1. **安装与配置**: Splunk 7.0的安装过程包括下载安装包、选择...
Splunk智能运维实战》——第2章 深入数据——搜索和报表 2.1 简介
weixin_33796205的博客
05-02 315
本节书摘来自华章计算机《Splunk智能运维实战》一书的第2章,第2.1节,作者 [美]乔史·戴昆(Josh Diakun),保罗R.约翰逊(Paul R. Johnson),德莱克·默克(Derek Mock),译 宫鑫,康宁,刘法宗 ,更多章节内容可以访问云栖社区“华章计算机”公众号查看。 第2章 深入数据——搜索和报表 2.1 简介 之前的章节介...
Splunk子查询模糊匹配csv字段值为*
QYHuiiQ
07-06 887
之前我们的案例常用的是直接在spl用*来模糊匹配,但是如果在一个csv定义某个字段的值为*,然后在spl里对该csv进行查询时,这个*值是否还表示模糊匹配?针对这个疑问,做了如下测试: 查看csv: 这条数据的学生名字是以开头的,如果csv的T*可以表示模糊匹配的话,那么我们的执行结果应该是可以查询出来这条数据,如果csv的T*表示字符串"T*",那么就查不出来结果。执行结果:Case1:Case2: 说明csv的T*表示模糊匹配。Case3:Case4:通过上面的测试可以得出,csv
Java获取AD域内所有用户
huangjiazhi_的博客
08-31 1516
介绍java连接AD域和获取用户名
splunk 自定义SPL命令关联威胁情报数据
03-17 320
通过自定义SPL命令关联微步情报数据,效果如下: 1、安装splunk-sdk cd /data/splunk/etc/apps/search/bin pip3 install -t . splunk-sdk 2、自定义脚本开发 [root@SIEM-P-VC-A001 bin]# more threatquery.py #!/usr/bin/python # -*- coding: ...
Splunk SPL操作
qq_45800977的博客
08-29 429
action=purchase | chart count by host | chart avg(count) as "每台服务器平均数““productlist” by clientip | rename clientip as “VIP客户”,count as “产。• sort - clientip, +status, 先基于 clientip 降序,再基于status升序。品总数”,totalproducts as “产品种类”,productlist as “产品列表”
splunk spl语法笔记
QYHuiiQ
08-31 5711
#重命名a为b | rename a as b #日期格式化并计算 | eval t1=strptime(time1,"%Y-%m-%dT%H:%M:%S.%3N%z"),t2=strptime(time2,"%Y-%m-%dT%H:%M:%S.%3N%z") | eval duration=t2-t1 #变量值为0时显示的是变量名,需要如下判断(表示如果b+c等于0,那么结果就是0,否则就等于b+c的值) | eval myvalue=if((b+c)=0,0,b+c) #保留两位小.
Splunk5.0文教程:入门到精通
在开始学习之前,你需要确保满足使用教程的前提条件,即拥有一个运行在 Splunk 5.0 版本的环境。下载和安装过程相对简单,按照官方提供的指南操作即可。一旦安装完成,启动Splunk并访问其Web界面,你就能开始探索这...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

QYHuiiQ

听说打赏的人工资翻倍~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值