Splunk-SDK-Python学习

最新推荐文章于 2024-04-14 09:32:25 发布
最新推荐文章于 2024-04-14 09:32:25 发布
阅读量5.5k 收藏 19
点赞数 1
分类专栏: Python splunk 文章标签: splunk python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ddydavie/article/details/78002905
版权

Splunk

最近在公司实习用到了splunk,需要调用splunk sdk进行一些简单的开发,目前把我这个星期的一些体会记录下。

什么是splunk

简单来说,Splunk是一个托管的日志文件管理工具,它的主要功能包括:
· 日志聚合功能
· 搜索功能
· 提取意义
· 对结果进行分组,联合,拆分和格式化
· 可视化功能
· 电子邮件提醒功能
而目前我通过splunk sdk主要实现的功能就是搜索功能,即搜索到我想要的日志。

Splunk SDK for Python

通过Splunk SDK我们可以和Splunk引擎进行交互。Splunk SDK是基于REST API的,因此通过简短的代码实现我们想要的功能。
官方文档:http://dev.splunk.com/python

安装

! 注意, splunk SDK 目前只支持python2,不支持python3.
Ubuntu下安装步骤:

sudo apt-get install python-pip //第一步:安装pip工具

pip freeze                      //查看是否已安装splunk sdk

pip install splunk-sdk          //第二步:下载splunk sdk

export PYTHONPATH=~/splunk-sdk-python //添加到python环境变量

模块介绍

主要有4个模块:
* binding: 基于HTTP的抽象层
* client: 基于REST API的抽象层,其中Service类是其最重要的类,并且client模块比binding模块有更多的好处。
* results: 对splunk返回的数据进行处理
* data: 将Atom Feed data转换为python格式
目前我主要用到的模块是client和results模块。

与Splunk enterprise建立连接

python2

import splunklib.client as client

HOST = "localhost"
PORT = 8089
USERNAME = "admin"
PASSWORD = "changeme"

# Create a Service instance and log in 
service = client.connect(
    host=HOST,
    port=PORT,
    username=USERNAME,
    password=PASSWORD)

# Print installed apps to the console to verify login
for app in service.apps:
    print app.name

存在的问题:splunk服务器的8089没有打开,因此连接不上
解决:
splunk的服务器是在一个虚拟网络下的,8089端口不对公网开放,因此可以在该网络下另起一个ubuntu虚拟机,然后ubuntu虚拟机通过22端口与请求相连接,收到请求后,由于ubuntu和splunk server是在一个内网中,因此ubuntu虚拟机可以与splunk server的8089端口通信,获得数据后再返回给请求端。

Search的一些术语

  • search query:即查询命令的集合,例如:search * | head 10
  • saved search: 被保存的可以被再次使用的搜索查询。
  • search job:即一次搜索操作的具体实例。
  • Normal search: 异步搜索,能够立刻返回serach job而不用等到结果都搜索完。
  • Blocking search:同步搜索,只有所有搜索全都完成后才返回job.
  • Oneshot: blocking serach,直接返回搜索结果而不是返回job

创建一个blocking serach

与normal search的不同点是blocking search是堵塞的,也就是创建job后不会立刻返回,而是等待所有结果搜索结束后才返回,此时job包含了所有的搜索结果。

# Get the collection of jobs
jobs = service.jobs

# Run a blocking search--search everything, return 1st 100 events
kwargs_blockingsearch = {"exec_mode": "blocking"}
searchquery_blocking = "search * | head 100"

print "Wait for the search to finish..."

# A blocking search returns the job's SID when the search is done
job = jobs.create(searchquery_blocking, **kwargs_blockingsearch)
print "...done!\n"

normal search 是异步的,即立刻返回job, 但是实际结果并没有返回,因此会存在操作job时没有event返回的情况,我目前的做法是,如果知道大致的搜索时间,则设置一定时间等待后再对job进行操作。

import splunklib.results as results

# Initialize your service like so
# import splunklib.client as client
# service = client.connect(username="admin", password="changeme")

searchquery_normal = "search * | head 10"
kwargs_normalsearch = {"exec_mode": "normal"}
job = service.jobs.create(searchquery_normal, **kwargs_normalsearch)

# Get the results and display them
for result in results.ResultsReader(job.results()):
    print result

job.cancel()   
import splunklib.results as results

# Run a one-shot search and display the results using the results reader

# Set the parameters for the search:
# - Search everything in a 24-hour time range starting June 19, 12:00pm
# - Display the first 10 results
kwargs_oneshot = {"earliest_time": "2014-06-19T12:00:00.000-07:00",
                  "latest_time": "2014-06-20T12:00:00.000-07:00"}
searchquery_oneshot = "search * | head 10"

oneshotsearch_results = service.jobs.oneshot(searchquery_oneshot, **kwargs_oneshot)

# Get the results and display them using the ResultsReader
reader = results.ResultsReader(oneshotsearch_results)
for item in reader:
    print(item)

…待续

韦人人韦
关注
  • 1
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
使用python实现splunk 读取csv文件数据并存储到collection中
QYHuiiQ
08-08 636
from configparser import ConfigParser import splunklib.client as splunkClient import requests import json import sys import urllib3 import csv utllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning) #load splunk config def loadConfig(file.
searchsplunk:从Python轻松创建Splunk搜索并将结果作为Python对象获取
05-15
搜索SplunkPython轻松创建Splunk搜索并将结果作为Python对象获取 需要 请求> = 2.7.0: : 安装说明 可以从PyPi安装 。 pip install searchsplunk 使用说明 from searchsplunk . searchsplunk import SearchSplunk s = SearchSplunk ( 'https://splunk.acme.com:8089' , 'MYUSER' , 'MYPASS' , ssl_verify = True ) result = s . search ( 'sourcetype=salt:grains openstack_uid=e0303456c-d5a3-789f-ab68-8f27561ffa0f | dedup openstack_uid' ) import json pri
splunk-sdk-python:适用于PythonSplunk软件开发套件
04-13
适用于PythonSplunk企业软件开发套件 版本1.6.15 适用于PythonSplunk企业软件开发套件(SDK)包含库代码和示例,旨在使开发人员能够使用Splunk平台构建应用程序。 Splunk平台是一个搜索引擎和分析环境,它使用分布式map-reduce体系结构来有效地索引,搜索和处理大型时变数据集。 Splunk平台在系统管理员中很流行,用于聚合和监视IT机器数据,安全性,合规性以及各种各样的其他场景,这些场景共享有效的索引,搜索,分析并从大量信息中实时生成通知的要求。时间序列数据。 Splunk开发人员平台使开发人员可以利用Splunk平台所使用的相同技术来构建令人兴奋的新应用程序。 Splunk SDK for Python入门 开始使用适用于PythonSplunk Enterprise SDK 适用于PythonSplunk Enterprise
探索 Splunk SDK for Python:高效日志管理和数据分析工具
最新发布
gitblog_00055的博客
04-14 694
探索 Splunk SDK for Python:高效日志管理和数据分析工具 项目地址:https://gitcode.com/splunk/splunk-sdk-python Splunk 是一款知名的数据分析平台,它允许用户收集、搜索、分析和可视化各类数据。而 Splunk SDK for Python 则是 Splunk 提供的官方 Python 开发工具包,旨在帮助开发者更便捷地与 Spl...
Python-splunk微信告警脚本
08-10
splunk微信告警脚本
Splunk SDK for Python如何在获取结果时指定所有(自定义)字段
Slience_Jhon的博客
05-19 565
splunk创建搜索及获取结果时指定自定义字段
splunk pyhton数据接口
Jepson的博客
05-02 2388
本文实现利用python splunklib接口获取splunk数据 适用环境:python2 1.通过接口,执行查询语句,并将获取到的查询结过存在字典中 import splunklib.client as client import splunklib.results as results #定义连接信息 HOST="localhost"#splunk
Splunk二次开发使用Python 编写自定义搜索命令
ffjl1985的专栏
03-31 2797
前言本文的目标是让读者对Splunk编写自定义搜索命令有个基本的概念,并不是详尽的开发指南。自定义搜索命令简介Splunk Spl语言是将Splunk的一系列搜索命令组织成数据处理的管道,如下图所示,提供了140多种搜索命令,基本覆盖了日常对数据处理的各种场景。其中search命令是SPL语言的默认命令,可以不明确的写在语句中。  但是在日常使用的过程中,有很多特殊的应用场景中,我们需要根据业务逻...
Python库 | splunk-sdk-1.6.14.tar.gz
05-22
资源分类:Python库 所属语言:Python 资源全名:splunk-sdk-1.6.14.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
Python库 | splunk-cloud-sdk-12.0.0.tar.gz
05-22
资源分类:Python库 所属语言:Python 资源全名:splunk-cloud-sdk-12.0.0.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
PyPI 官网下载 | splunk-opentelemetry-0.6.2.tar.gz
02-11
**PyPI 官网下载 | splunk-opentelemetry-0.6.2.tar.gz** ...通过这种方式,`splunk-opentelemetry` 库简化了Python应用与Splunk集成的流程,使得开发者可以专注于他们的业务逻辑,而无需关注底层数据传输的细节。
splparser:用Python编写的Splunk处理语言(SPL)的简单解析器
05-15
该项目为Python中的Splunk处理语言(SPL)提供了一个简单的解析器。 它输出SPL查询的解析树。 它不一定要用作编译器的一部分。 它能够解析最常见的大约132个SPL命令中的66个。 拉请求欢迎。 联络人:Sara Alspaugh
Python库 | splunk_add_on_ucc_framework-5.0.0.dev1.tar.gz
05-22
资源分类:Python库 所属语言:Python 资源全名:splunk_add_on_ucc_framework-5.0.0.dev1.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
splunk-sdk-java:Splunk Java软件开发套件
05-28
适用于Java的Splunk企业软件开发套件 版本1.6.5 Java的Splunk企业软件开发套件(SDK)包含库代码和示例,旨在使开发人员能够使用Splunk平台构建应用程序。 Splunk平台是一个搜索引擎和分析环境,它使用分布式map-reduce体系结构来有效地索引,搜索和处理大型时变数据集。 Splunk平台在系统管理员中很流行,用于聚合和监视IT机器数据,安全性,合规性以及各种各样的其他场景,这些场景共享有效的索引,搜索,分析并从大量信息实时生成通知的要求。时间序列数据。 Splunk开发人员平台使开发人员可以利用Splunk平台所使用的相同技术来构建令人兴奋的新应用程序。 有关更多信息,请参见Splunk开发人员门户上的 。 Splunk Enterprise SDK for Java入门 Splunk Enterprise SDK for Java包含库代码和示
Splunk安装和使用
02-24
Splunk是机器数据的引擎。使用Splunk可收集、索引和利用所有应用程序、服务器和设备(物理、虚拟和云中)生成的快速移动型计算机数据。从一个位置搜索并分析所有实时和历史数据。使用Splunking处理计算机数据,可让您在几分钟内(而不是几个小时或几天)解决问题和调查安全事件。监视您的端对端基础结构,避免服务性能降低或中断。以较低成本满足合规性要求。关联并分析跨越多个系统Splunk分为服务器(Splunk)和客户端(Splunkforwarder)。Splunk的服务器就是索引器和接收器。客户端就是数据的转发器。顾名思义就是数据可由客户端转发至server端进行索引。客户端只起到转发数据的
Spunk-KVStore-Client:与Splunk KV商店接口的小类。 需要Splunk Python SDK
05-20
KVStoreClient 一个小型客户端库,用于与Splunk应用程序内的Splunk KVStore或通常与Splunk Python SDK进行接口。安装将其包含在现有的Splunk应用程序中并导入。 需要Splunk python sdksplunklib)。 您必须在...
Python脚本之获取Splunk数据保存到本地文件
程序园@大Null
06-07 279
Python获取Splunk数据,按照月、日、时分批保存到本地文件。
Python脚本之获取Splunk数据发送到Kafka
程序园@大Null
05-09 261
Python 脚本转发 Splunk 数据到第三方目的地
Splunk SDK for JavaScript
Swime的博客
08-04 200
官方详细使用说明:http://dev.splunk.com/view/SP-CAAAEFN 一、服务器端搭建nodejs环境 搭建步骤参考:https://blog.csdn.net/web_xyk/article/details/81172056 注意:请安装10以上的版本 二、引入SDK包 将Splunk SDK For JavaScript包解压放在服务器端,进入sdk目录,启动服务:node sdkdo runsever,访问 http://ip:6969/examples/br
splunk-7.3.9-39a78bf1bc5b-linux-x86_64.tgz
09-21
splunk-7.3.9-39a78bf1bc5b-linux-x86_64.tgz是一个Splunk软件的安装包,适用于64位的Linux操作系统。Splunk是一种实时数据分析和监控平台,被广泛用于处理和分析大型数据集。 Splunk使用一种称为索引的机制来存储和检索数据。它能够处理各种类型的数据,包括文本、日志、图片等。通过将数据索引,Splunk可以快速搜索和可视化数据,帮助用户发现隐藏在数据中的有价值的信息。 安装Splunk的第一步是下载安装包,这里的splunk-7.3.9-39a78bf1bc5b-linux-x86_64.tgz就是Splunk的安装文件。".tgz"表示这是一个tar压缩文件,需要使用tar命令解压缩。 安装Splunk之前,我们首先要确保操作系统是64位的Linux。下载后,我们可以使用以下命令解压缩该文件: tar -zxvf splunk-7.3.9-39a78bf1bc5b-linux-x86_64.tgz 解压缩后,会得到一个splunk文件夹,里面包含Splunk的所有文件。然后,我们可以运行Splunk的安装脚本来启动安装过程。 Splunk提供了一个图形化的安装向导,可以帮助用户完成安装步骤。在安装过程中,需要选择安装目录、许可证文件等配置选项。 安装完成后,我们可以使用以下命令启动Splunk: ./splunk start 然后,我们可以通过浏览器访问Splunk的Web界面,并使用相关的管理员用户名和密码登录。 总结来说,splunk-7.3.9-39a78bf1bc5b-linux-x86_64.tgz是Splunk软件的安装包,用户可以通过解压缩、运行安装脚本等步骤来安装和启动Splunk,并使用该软件进行数据分析和监控。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值