Splunk search命令

已于 2022-07-06 14:51:54 修改
阅读量2.2k 收藏
点赞数 1
分类专栏: Splunk 文章标签: splunk 大数据
于 2022-03-06 21:07:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/QYHuiiQ/article/details/123317258
版权
在Splunk的| search命令中,通常需要对基础搜索数据与子查询数据进行筛选对比。例如,比较基础搜索中的特定字段与子查询中的对应字段,以实现更精确的数据过滤和分析。
摘要由CSDN通过智能技术生成

在splunk的| search命令中我们可能想要对base search中的数据和子查询中的数据进行一个筛选,比如说将base search中某个字段与子查询中某个字段进行对比筛选,一下面的测试为例:

| base search
...
...
| search 
    [| inputlookup test.csv
    | fields name,age]
#该例表明对base search数据中的name和age字段与inputlookup中的name和age进行对比,筛选出base search中的name+age作为联合关键字能与inputlookup 中name+age匹配上的数据,也就是说在base search中找出name+age存在于inputlook中的那些数据。这里的子查询中必须使用fields来指定字段名才能知道是要将字段名作为子查询的返回结果,否则不会进行筛选的过程;这里| fields后面可以指定一个或多个字段,如果是多个字段,就是联合关键字,即必须这多个字段同时满足才可以。
| base search
...
...
| search NOT
    [| inputlookup test.csv
    | fields name,age]
#如果在| search后面加上了NOT表名base search中的字段不存在于子查询中;如果| fields后面是多个字段,就表明这多个字段作为联合关键字不存在于子查询中。

QYHuiiQ
关注
专栏目录
订阅专栏
Splunk中where与search命令中条件连接AND与and
QYHuiiQ
02-19 1377
splunk中我们对数据进行筛选或者过滤判断时,有时会使用多个条件进行筛选,就需要用到and来连接,但是这里要注意的是,| where命令后面可以用and来连接,但是| search命令后面必须用大写AND来连接。 ......
splunk搜索Searching)
liangkaiping0525的博客
08-16 7373
Let's Searching Results Example Results Example 注意:在结果之上,有一个菜单项允许您更改页面上显示的事件的数量。默认情况下,这个选项是每页20个,但是您可以单击这个选项来增加或减少这个数字。 task3:使用时间线查找结果中的趋势。Use the timeline to look for trends in...
splunk 学习笔记之二[搜索语法]
weixin_30598225的博客
08-01 1247
splunk 搜索语法 全文搜索 搜索框直接输入”搜索词“   purchase 查找匹配词”purchase“ 字段搜索 字段名=”搜索词“ source="Sampledata.zip:./apache3.splunk.com/access_combined.log" 查找数据来源为"Sampledata.zip...
splunk搜索手册(中文)
09-01
splunk搜索手册(中文): 该手册介绍 Splunk 搜索以及如何使用 Splunk 搜索处理语言。 如果您之前未使用过 Splunk Enterprise 和搜索,可以从“搜索教程”开始。搜索教程介绍搜索和报表应用,逐步指导您 添加数据、搜索数据、构建简单报表和仪表板。
splunk搜索参考(中文)
09-01
本手册是“搜索处理语言”(SPL) 的参考指导。搜索参考包含带有完整语法、描述和示例的搜索命令目录。此外,本手册还包含有关命令类别的快速参考信息,可与命令一起使用的函数,以及 SPL 与 SQL 之间的关系。
SPLUNK 简单查询语句| lookup使用
weixin_42215229的博客
09-11 7594
Here is offical document: http://docs.splunk.com/Documentation/SplunkCloud/7.0.2/Search/GetstartedwithSearch | inputlookup all_w  | search slavename="MAC-BUILD-GIT*" | join type=outer slavename     [...
splunk】一些查询例子
weixin_34419321的博客
03-31 2559
最重要资料: 入门基础:http://docs.splunk.com/Documentation/Splunk/6.5.2/SearchTutorial/WelcometotheSearchTutorial 查询语句写法:http://docs.splunk.com/Documentation/Splunk/6.5.2/SearchReference/WhatsInThisManual 其他:在上...
splunk编写自定义命令
最新发布
Jepson的博客
07-17 772
编写splunk自定义命令
Splunk Search Cheatsheet
05-07
### Splunk Search Cheatsheet:常用语法说明及实例解析 #### 概述 Splunk 是一个强大的数据收集、索引和分析平台,尤其擅长处理机器产生的日志数据。本文档旨在提供一个关于 Splunk 搜索语言的快速参考指南,帮助...
Splunk二次开发使用Python 编写自定义搜索命令
ffjl1985的专栏
03-31 2859
前言本文的目标是让读者对Splunk编写自定义搜索命令有个基本的概念,并不是详尽的开发指南。自定义搜索命令简介Splunk Spl语言是将Splunk的一系列搜索命令组织成数据处理的管道,如下图所示,提供了140多种搜索命令,基本覆盖了日常对数据处理的各种场景。其中search命令是SPL语言的默认命令,可以不明确的写在语句中。  但是在日常使用的过程中,有很多特殊的应用场景中,我们需要根据业务逻...
splunk搜索教程(中文)
09-01
本教程将告诉您在开始使⽤ Splunk 之前您需要知道些什么,内容包括⾸次下载、如何创建丰富的交互式仪表盘等。本教程包括⼀个样本数据集,该数据集由虚构网上商店的 Web 服务器和 MySQL ⽇志组成。请按照详细说明将此数据添加到您的 Splunk 实例中。
splunk语法
09-08
splunk语法是学习splunk的快速入门指导书 谁下载谁知道;更多详情请点击:linuxdiy.taobao.com
Splunk查询官方教程_中文
09-02
包含Splunk的官方教程,适用于一般以及高级使用者。全方位解析查询使用。
Splunk中base search的使用
QYHuiiQ
03-18 889
在dashbaord中有时可能多个panel里会使用一些共同的源数据,这时我们可以把这些查询共同数据的代码提取出来作为base search,然后在各个panel spl里引用。 eg: 定义base search: <search id="baseSearchForStudent"> //这里要指定id,后面才可以引用这个id <query> index="aaa" sourcetype="bbb" ... //将公共的查询语句写在这里 .
Splunk系列:Splunk搜索分析篇(四)
03-18 5962
一、简单概述Splunk 平台的核心就是 SPL,即 Splunk 搜索处理语言。它提供了非常强大的能力,通过简单的SPL语句就可以实现对安全分析场景的描述。这里,我们以Linux sec...
splunk rest api search
djph26741的博客
12-14 677
如下: curl -u admin:changeme -k https://localhost:8089/services/search/jobs -d search="search source=\"http:hec_test\" | head 5" curl -u admin:changeme -k https://localhost:8089/services/search...
splunk 搜索语法(转)
weixin_34112208的博客
08-27 1034
为什么80%的码农都做不了架构师?>>> ...
Splunk子查询模糊匹配csv中字段值为*
QYHuiiQ
07-06 978
之前我们的案例中常用的是直接在spl中用*来模糊匹配,但是如果在一个csv中定义某个字段的值为*,然后在spl里对该csv进行查询时,这个*值是否还表示模糊匹配?针对这个疑问,做了如下测试: 查看csv: 这条数据中的学生名字是以开头的,如果csv中的T*可以表示模糊匹配的话,那么我们的执行结果应该是可以查询出来这条数据,如果csv中的T*表示字符串"T*",那么就查不出来结果。执行结果:Case1:Case2: 说明csv中的T*表示模糊匹配。Case3:Case4:通过上面的测试可以得出,csv
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

QYHuiiQ

听说打赏的人工资翻倍~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值