Splunk二次开发使用Python 编写自定义搜索命令

最新推荐文章于 2024-07-17 18:34:44 发布
最新推荐文章于 2024-07-17 18:34:44 发布
阅读量2.8k 收藏 13
点赞数 1
分类专栏: splunk
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ffjl1985/article/details/79773719
版权

前言

本文的目标是让读者对Splunk编写自定义搜索命令有个基本的概念,并不是详尽的开发指南。

自定义搜索命令简介

Splunk Spl语言是将Splunk的一系列搜索命令组织成数据处理的管道,如下图所示,提供了140多种搜索命令,基本覆盖了日常对数据处理的各种场景。其中search命令是SPL语言的默认命令,可以不明确的写在语句中。

 

 

但是在日常使用的过程中,有很多特殊的应用场景中,我们需要根据业务逻辑对数据进行处理,那么就需要一种机制,能够灵活的添加新的命令,满足业务需求,如下图所示,GOCRAZY命令就是我们编写的自定义搜索命令。

 

自定义搜索命令的执行原理

SPL的执行过程

  1. 将SPL查询语句分解为命令

  1. 分析语句中是否存在自定义搜索命令

  1. 获取外部资源路径

  1. 外部进程解析自定义命令参数

  1. 使用外部命令处理数据

自定义搜索命令的抽象概念

能够编写新的搜索命令,扩展SPL语言,实现新的数据分析。

能够使我们对搜索结果进行处理,例如接收csv结构的数据,进过处理之后,输出csv格式的数据。

实现为外部进程(一个我们编写的程序),最典型的是编写python脚本。

自定义搜索命令的底层细节

Splunkd和外部进程的交互协议

因为自定义搜索命令运行在外部进程中,所以splunkd需要与外部进程之间进行交互,splunk定义了两种交互协议:

  1. 协议V1,历史遗留协议,始于Splunk3.0开始,主要被InterSplunk.py使用。

    当搜索结果中的数据量非常大的时候,需要拆分成一批一批的被自定义命令处理。协议V1会对每一批数据启动一次外部进程,效率较低。

    转换命令(事件命令、报表命令)的事件上限是50,000。"Transforming" commands limited to 50,000 events

  2. 协议V2,始于Splunk6.3版本中添加的新协议,主要在Python SDK中使用。

    两种协议都是用std in/std out进行交互。

    协议V2只启动外部进行一次,每一批数据会一次发送给外部进程进行处理,只需要在commands.conf中设置chunked=true即可。

    可以支持非python平台开发的程序作为自定义命令。

功能对比

 

协议

API

性能

扩展性

简单配置(配chunk=true)

是否支持其他编程语言实现

编程语言

V1

Intersplunk.py,

Python SDK

Python

V2

Python SDK

支持

Python,
任意实现了协议的二进制程序

 

性能对比

最低0.47元/天 解锁文章
列国周游
关注
专栏目录
使用python实现splunk 读取csv文件数据并存储到collection中
QYHuiiQ
08-08 669
from configparser import ConfigParser import splunklib.client as splunkClient import requests import json import sys import urllib3 import csv utllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning) #load splunk config def loadConfig(file.
searchsplunk:从Python轻松创建Splunk搜索并将结果作为Python对象获取
05-15
搜索SplunkPython轻松创建Splunk搜索并将结果作为Python对象获取 需要 请求> = 2.7.0: : 安装说明 可以从PyPi安装 。 pip install searchsplunk 使用说明 from searchsplunk . searchsplunk import SearchSplunk s = SearchSplunk ( 'https://splunk.acme.com:8089' , 'MYUSER' , 'MYPASS' , ssl_verify = True ) result = s . search ( 'sourcetype=salt:grains openstack_uid=e0303456c-d5a3-789f-ab68-8f27561ffa0f | dedup openstack_uid' ) import json pri
Splunk自定义命令开发
白M的博客
02-05 1343
目录 简介 自定义命令如何运作的? 使用什么语言开发自定义命令? 内置Python所在位置 如何在后台使用内置Python 内置Python版本 内置Python使用的包和库所在位置 是否有现成的SDK等? SDK下载 SDK存放位置 开发的过程中有什么主意事项? 有什么格式要求? 如何获取到系统中的数据? 如何将脚本处理好的数据返回给系统? 开发好的自定义命令脚本放在什么地方? 给多个APP使用 给自己的APP使用 是否需要做什么配置让Splunk知道开发了自定义.
splunk编写自定义命令
最新发布
Jepson的博客
07-17 759
编写splunk自定义命令
splunk pyhton数据接口
Jepson的博客
05-02 2463
本文实现利用python splunklib接口获取splunk数据 适用环境:python2 1.通过接口,执行查询语句,并将获取到的查询结过存在字典中 import splunklib.client as client import splunklib.results as results #定义连接信息 HOST="localhost"#splunk
splunk-sdk-python:适用于PythonSplunk软件开发套件
04-13
适用于PythonSplunk企业软件开发套件 版本1.6.15 适用于PythonSplunk企业软件开发套件(SDK)包含库代码和示例,旨在使开发人员能够使用Splunk平台构建应用程序。 Splunk平台是一个搜索引擎和分析环境,它使用分布式map-reduce体系结构来有效地索引,搜索和处理大型时变数据集。 Splunk平台在系统管理员中很流行,用于聚合和监视IT机器数据,安全性,合规性以及各种各样的其他场景,这些场景共享有效的索引,搜索,分析并从大量信息中实时生成通知的要求。时间序列数据。 Splunk开发人员平台使开发人员可以利用Splunk平台所使用的相同技术来构建令人兴奋的新应用程序。 Splunk SDK for Python入门 开始使用适用于PythonSplunk Enterprise SDK 适用于PythonSplunk Enterprise
安全运营 -- splunk 二次开发 -- 自定义搜索命令
热门推荐
leeezp的博客
05-28 17万+
splunk 有很多功能强大的搜索函数,当官方提供的函数无法满足需求时,就需要自己开发app,场景比如对接第三方api等。
Splunk 体系介绍
ffjl1985的专栏
11-08 1万+
Splunk总体介绍 Splunk是什么     Splunk是一个分析计算机系统产生的机器数据,并在广泛的场景中提供数据收集、分析、可视化分布式的数据计算平台。 Splunk 是一个数据引擎。 针对所有IT系统和基础设施数据, 提供数据搜索、报表和可视化展现。 Splunk是软件 – 5分钟就可以下载和安装。 可以运行在各种主流的操作系统平台。  Splunk做什么
基于Python的测试平台设计与开发
本章将介绍测试平台的概念与作用,以及Python在测试平台开发中的优势和设计测试平台的基本原则与考虑因素。 ## 1.1 测试平台的概念与作用 测试平台是指用于软件测试的一套系统或工具,用于对软件进行功能验证、...
splparser:用Python编写Splunk处理语言(SPL)的简单解析器
05-15
该项目为Python中的Splunk处理语言(SPL)提供了一个简单的解析器。 它输出SPL查询的解析树。 它不一定要用作编译器的一部分。 它能够解析最常见的大约132个SPL命令中的66个。 拉请求欢迎。 联络人:Sara Alspaugh
Python-splunk微信告警脚本
08-10
splunk微信告警脚本
splunk api手册
10-18
splunk6.0的相关说明文档。繁体中文。
探索 Splunk SDK for Python:高效日志管理和数据分析工具
gitblog_00055的博客
04-14 748
探索 Splunk SDK for Python:高效日志管理和数据分析工具 splunk-sdk-pythonSplunk Software Development Kit for Python项目地址:https://gitcode.com/gh_mirrors/sp/splunk-sdk-python 则是 Splunk 提供的官方 Python 开发工具包,旨在帮助开发者更便捷地与 Sp...
Splunk-SDK-Python学习
韦人人韦
09-16 5628
Splunk 最近在公司实习用到了splunk,需要调用splunk sdk进行一些简单的开发,目前把我这个星期的一些体会记录下。 什么是splunk 简单来说,Splunk是一个托管的日志文件管理工具,它的主要功能包括: · 日志聚合功能 · 搜索功能 · 提取意义 · 对结果进行分组,联合,拆分和格式化 · 可视化功能 · 电子邮件提醒功能 而目前我通过splunk s
Python脚本之获取Splunk数据保存到本地文件
程序园@大Null
06-07 372
Python获取Splunk数据,按照月、日、时分批保存到本地文件。
Splunk SDK for Python如何在获取结果时指定所有(自定义)字段
Slience_Jhon的博客
05-19 608
splunk创建搜索及获取结果时指定自定义字段
Splunk安装和使用
spark的自由牧场的博客
03-30 2万+
Splunk Splunk概念 Splunk 是机器数据的引擎。使用 Splunk 可收集、索引和利用所有应用程序、服务器和设备(物理、虚拟和云中)生成的快速移动型计算机数据 。从一个位置 搜索并分析所有实时和历史数据。 使用 Splunking 处理计算机数据,可让您在几分钟内(而不是几个小时或几天)解决问题和调查安全事件。监视您的端对端基础结构,避免服务性能降低或中断。
django_splunk_logging-1.1.0:Python库实现Django日志集成Splunk
Python库是预编译的代码集合,可以直接在Python程序中导入并使用,无需编写基础代码。这使得Python开发者可以重用现成的代码,提高开发效率,缩短开发时间。 2. Django框架: Django是一个高级的Python Web框架,它...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值