splunk Enterprise 的HTTP收集器创建以及数据查询

流连勿忘返

已于 2024-09-04 17:06:11 修改

阅读量431

点赞数 7

分类专栏： splunk 文章标签： java 前端服务器

于 2024-08-27 15:45:25 首次发布

本文链接：https://blog.csdn.net/qq_26112725/article/details/141603474

版权

splunk 专栏收录该内容

1 篇文章 0 订阅

订阅专栏

1.创建HTTP收集器

2.使用HTTP收集器

然后打开全局设置：

把ssl给去掉，点保存（保存之后，可以看到这些状态全部都是已启用了）：

3.测试：

curl --location --request POST 'http://192.168.11.131:8088/services/collector/event' \
--header 'Authorization: Splunk ff23673b-97c5-4fe1-8df1-53af84741c42' \
--header 'User-Agent: Apifox/1.0.0 (https://apifox.com)' \
--header 'Content-Type: application/json' \
--data-raw '{
    "sourcetype": "my_sample_data",
    "event": "{asdfa:adsfasdf}"
}'

然后发送：

发送成功，然后返回splunk 首页：

source="http:test"
语法：
source="http:收集器的名称"（在这里，我们使用的收集器名称叫test）

不知道自己的收集器名称的，可以在这里看：

然后就可以看到我们发送的日志：

发送的时候，是可以直接发送json对象的：

对应的日志：

4.索引

splunk 里面的一般会有： history，main，summary 这个三个索引

main：这是Splunk的默认索引，用于存储所有未明确指定索引的数据。通常情况下，你会将大部分数据发送到这个索引，除非你有特定的索引策略需要将数据分配到其他索引。

summary：这个索引用于存储汇总数据。在Splunk中，你可以创建汇总索引来提高搜索效率，特别是在处理大量数据时。通过在汇总索引中存储预先汇总的数据，可以减少搜索时需要处理的数据量，从而提高搜索性能。

history：这个索引通常用于存储与Splunk系统操作相关的历史数据，比如用户操作记录、配置变更等。

如果在创建HTTP收集器的时候，使用了索引，那在发送请求的时候，要加多一个这个：

X-Splunk-Request-Channel：对应的令牌

5.数据查询

1.查询指定的收集器的数据：source="http:test"

2.查询指定索引的数据：index="main"

3.查询指定收集器，指定索引，指定时间范围，指定sourcetype事件，指定event里面的指定值：index="main" sourcetype="my_sample_data11" host="127.0.0.1:8088" source = "http:cs" _time >= -24h

上面查询语句的解释：查索引等于main的，sourcetype的等于my_sample_data11的...，然后时间_time是大于24小时之前的（-号表示之前）

3.1 模糊查询：event 里面包含 "测试的" 这个日志：

3.2 等值查询：

3.3查询json对象里面，age=30的：