Splunk Overview

最新推荐文章于 2024-10-15 18:36:00 发布
最新推荐文章于 2024-10-15 18:36:00 发布
阅读量380 收藏 10
点赞数 5
文章标签: devops 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_28505395/article/details/139743893
版权

Extract Fields

Fields are the values that we awalys cares.

How to identify a field

A. extract by splunk ui

https://www.cnblogs.com/xiaozi/p/15960470.html

B. extract by regex in searching

[search vendors]

| rex "abc(?<field-name-A>.*)def"

| table field-name-A

the above command can extract field with the name: field-name-A from the search response

And then display in table format like:

https://docs.splunk.com/Documentation/SplunkCloud/9.2.2403/SearchReference/Table

d0af36f42f414adbbf7290b77ce61e56.jpg

 Common commands

eval

https://docs.splunk.com/Documentation/SplunkCloud/9.2.2403/SearchReference/Eval

Do pre-process for the whole raw

| eval _raw = replace(_raw, ":", "=")

Create new field

| eval new_field = fielda + fieldb

bf8f12cad40f4d7a81617579f90ebb0f.jpg

 Logic condition

operators:

255c9013675f44cea7e7d0750b36bc1c.jpg

 case:

|  eval description=case(status==200, "OK", status==404, "Not found", status==500, "Internal Server Error")

if:

... | eval error = if(status == 200, "OK", "Problem")

dedup

For one field which mapping to multipel row,

we may want to use dedup to unique the value.

| dedup fielda fieldb

coalesce

It will return the first no-empty value

| eval fielda = coalesce(field1, field2, field3)

rename

| rename fieldA as "test A"

join

... | join fieldA fieldB type="outer" [search vendors]

this command will outer join a search result when fieldA and fieldB between two source type are the same.

And I tried the command below, but never worked:

d4538dca3c614c42abb4d3bb32f85726.jpg

And we always recommand to use stats instead of join, for higher efficient.

stats

same as the "group by" in sql

follow conmands use it to do statistics, how many get in the data group by host

94170fd4df374e6cb82ed16d6a866772.jpg

 Internal function

eeb404b5ee7446d2aa26f92cb12cd474.jpg

372d0013b6394f8f852a582c6c9223bf.jpg 

 https://docs.splunk.com/Documentation/SplunkCloud/9.2.2403/SearchReference/Stats

 

 

 

 

养佳工具人
关注
splunk
fanxing1964的博客
09-13 310
1. Introduction Overview A data platform built for expansive data access, powerful analytics and automation. Splunk Platform Splunk Enterprise: Search, analysis and visualization for actionable insights from all of your data Splunk Cloud: petabyte-s
初学Splunk
热门推荐
Ian Sheng的博客
01-25 1万+
splunk简介 https://www.splunk.com/zh-hans_cn/download.html   splunk 简体中文版手册 http://docs.splunk.com/Documentation/Splunk/6.5.0/Translated/SimplifiedChinesemanuals ====================================...
Splunk CIM
白M的博客
11-18 1109
文章目录1. 目标2. 什么是通用信息模型(CIM)?3. Splunk CIM如何工作4. 规范化的字段名称 – 电子邮件数据5. 规范化的字段名称 – 网络流量6. 规范化的字段名称 – Web数据7. Splunk CIM插件8. 使用CIM插件组件9. datamodel命令10. datamodel命令 - 例子11. from命令12. 其他CIM资源 使用公共信息模型(CIM)插件...
splunk 常用资源
weixin_30576827的博客
05-10 468
splunk 常用资源 Splunk Add-on for Check Point OPSEC LEA version 4.3.1 Copyright (C) 2018 Splunk Inc. All Rights Reserved. For documentation, see: http://docs.splunk.com/D...
Splunk集成Kafka配置方法
华为云官方博客
07-02 1953
【摘要】Splunk是业界赫赫有名的数据分析工具,比较擅长BI和安全分析,我司很多部门都有购买其产品和服务。最近有个需求要把Splunk和分部署消息队列Kafka做个集成,Splunk官方提供的一个Kafka的插件,可以很容易的做到与开源Kafka集成,本文简单描述一下集成的配置方法。本文假设你的环境里已经搭建好了Splunk和Kafka(Splunk搭建请参考,Kafka搭建请参考)。 #概...
【M365运维】把M365跟Splunk做整合时的几个参数
aladinggao的博客
02-17 379
【问题】根据Splunk的文档做整合的时候,文档里提到需要Azure的几个参数: Tenant IDis the Directory ID from Azure Active Directory. Client IDis the Application ID from the registered application within the Azure Active Directory. Client Secretis the registered application ...
Logsystem overview
weixin_30498921的博客
12-10 64
flume + HDFS + MapReduce,flume高可用、高可靠,分布式的海量日志采集、聚合和传输系统,目前是apache的一个子项目。使用语言java。agent和collector,collector和store之间都有容错性。agent和collector间,collector和store间有loadbalance和failover两种模式。 logstash + elastic...
splunk LB和scale(根本在于分布式扩展index,search)
djph26741的博客
12-09 232
Forwarder deployment topologies You can deploy forwarders in a wide variety of scenarios. This topic provides an overview of some of the most useful topologies that you can create with forwarder...
Splunk Apps and Addons: A Comprehensive Overview
AI天才研究院
12-29 720
1.背景介绍 在大数据时代,数据的收集、存储、处理和分析成为企业和组织中的重要需求。Splunk是一种强大的大数据分析平台,它可以帮助企业和组织更有效地收集、存储、处理和分析大量的结构化和非结构化数据,从而提高业务效率和决策能力。Splunk Apps和Add-ons是Splunk平台上的两种重要组件,它们可以帮助用户更好地利用Splunk平台的功能和能力。 在本文中,我们将对Splunk A...
Splunk-4.3.4-Installation
08-30
如果用户对于部署的具体场景和最佳实践感兴趣,文档中也提供了指向分布式部署手册中“Universal forwarder deployment overview”的链接,其中介绍了与普通和轻量级转发器的区别,以及完全独立的可执行文件——...
Splunk Developer's Guide(PACKT,2015)
09-16
It will give you an overview of Splunk applications and covers the underpinnings of the structure and configurations that are contained within a Splunk application. You will learn about the design ...
Security Orchestration Automation and Response (SOAR) ---安全编排自动化与响应
weixin_43337874的博客
10-20 1753
0. 为什么需要SOAR? 一个组织每天都暴漏在无数的网络安全威胁之中。就拿高校来说,可能的威胁有:持续的钓鱼式攻击(比如phishing email:诱使教职工学生暴漏自己的私人信息)、泄漏账户、非法下载等等。这些威胁可以通过高校的安全运营中心(SOC)来减少: 就拿phishing email来说,可以通过分析邮件的IP地址、URL、发件人、邮件内容、附件来判断邮件是不是有威胁的。有很多工具可...
【Windows】【DevOps】Windows Server 2022 在线/离线 安装openssh实现ssh远程登陆powershell、scp文件拷贝
hknaruto的专栏
10-11 648
管理员权限启动powershell,输入指令。
Kubesphere4.1创建DevOps项目流程
z1299236067的博客
10-14 876
Kubesphere4.1创建DevOps项目流程
Git 的使用
最新发布
leoppeng的专栏
10-15 204
下载后,Next安装完。
如何减少光伏电站中的重复工作
zheguyun的博客
10-12 272
在关键施工环节,如基础施工、组件安装等,加强质量控制和验收,避免后期因质量问题导致的重复工作。说道施工,建议可以考虑下鹧鸪云光伏软件的施工管理流程,上面比较标准,而且每一步都有固定的流程也不容易出错,极大的可以减少重复的工作。对电站建设和运营过程中出现的问题进行总结和分析,找出问题的根源和解决方案。利用智能化工具进行电站布局和组件排布规划,确保电站布局合理,减少因布局不当导致的重复工作。定期召开项目会议,及时解决施工过程中出现的问题,避免问题累积导致的重复工作。
远程连接之MobaXterm安装使用
宇宙第一小趴菜的博客
10-12 373
MobaXterm支持的远程方式非常丰富,基本上一个工具涵盖了日常所需的所有远程需要。输入IP地址后即可开启一个会话,如果需要指定登录用户可以勾选Specify username,输入对应的用户名。如果非默认的22端口,我们在port输入口输入对应的端口号。ssh远程登录服务器后默认开启一个sftp会话窗口,默认路径为登录用户的家目录,我们可以在输入框输入路径进行切换。点击上面的按钮可以上传、下载文件。官网提供便携版和安装版下载,这里我们选择便携版(主要懒得安装),下载后启动即可使用。
Windows server 2019的安装
sdszoe4922的博客
10-15 298
图1-2 在有空间的磁盘上创建一个目录用于指定安装Windows server 2019。图1-8 安装完毕后重启,目前是在安装VMware tools虚拟工具。图1-3 给虚拟机命名/改名,将安装的位置指向之前创建的目录位置。一.安装前的准备:需要镜像—设定网卡—指定一个安装的位置。图1-1用准备好的Windows不同版本服务器镜像。图1-5 VMware虚拟机统计的完整的安装信息。图1-2 在VMware虚拟机中插入光盘镜像。图1-6 开始安装时系统提示选择镜像。图1-7 无人值守安装开始进行。
241014-绿联UGOSPro-通过虚拟机访问主机的用户目录及文件夹
专注机器学习之路
10-14 183
如图所示,两种方式;
Spring Integration与Splunk适配器
"Spring Integration adapter for Splunk 是一个由 JarredLi、Mark Pollack 和 Damien Dallimore 开发的组件,版本为 0.5.0.BUILD-SNAPSHOT。这个适配器使得 Spring Integration 能够与 Splunk 进行集成,提供了双向...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值