Splunk SPL(三)multikv

最新推荐文章于 2023-08-29 20:52:51 发布
最新推荐文章于 2023-08-29 20:52:51 发布
阅读量279 收藏 2
点赞数
分类专栏: splunk 文章标签: splunk
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42938493/article/details/122247182
版权
本文详细介绍了Splunk中multikv命令的使用,包括如何提取表格字段、处理无表头的情况、自定义分隔符以及配置文件的设定。通过multikv,用户可以方便地对日志中的表格数据进行解析和操作,例如设置header行、处理不同分隔符的表格等。了解并掌握multikv的用法,能有效提升在Splunk中的数据分析效率。
摘要由CSDN通过智能技术生成

multikv

  • multikv可以操作这些像表格类型的数据,提取表中的数据。
    在这里插入图片描述
  • 直接使用 | multikv,可以提取出表格的字段
index=main | multikv

在这里插入图片描述

  • 像开头他的字段并不在第一行,可以把表格字段设置为第二行
index=main | multikv forceheader=2
  • noheader 参数,假如multikv的时候,没有表头(字段),用了这个noheader参数,multikv自动给你生成字段名
index=main | multikv noheader=t

在这里插入图片描述

  • rmorig 参数默认为true,改成false之后会连同原始事件都一起展示出来
index=main | multikv rmorig=false

在这里插入图片描述

  • multikv 本身通过空格来分割字段和值。假如用tab来分割,默认使用multikv会失效,提取不到字段。这种情况下要使用增强的特性,创建一个conf配置文件。
    在这里插入图片描述
  • multikv.conf 文件(etc/system/local),有四部分可以定制:pre、header、body、post 。
  1. 这部分没有什么用的,就是pre部分,可以忽略掉,也可以保存为一个字符串。
    在这里插入图片描述
  2. header就是 PID、COMMAND、%CPU … 那一行
  3. body就是数据值
  4. post就是指下一个事件
[top_mkv]
pre.start="Process"
pre.end="PID"
pre.ignore= _all_
header.start="PID"
header.linecount=1
header.replace= "%" = "_" , "#" = "_"
header.tokens = _tokenize_ , -1 , " "      # -1for complete tokenization , 0 to inherit from previous section (usually header) , a none zero number for a specific token count
body.end = "Process"
body.tokens = _tokenize_ , 0 , " "
  • 详见multikvconf网页,太复杂了。
  • 例子
[tab_mkv]
header.start="CPU"
header.linecount=1
header.tokens= _tokenize_,-1," "
body.tokens=_tokenize_,-1,"\t"
  • 写完还要放到 $SPLUNK_HOME/etc/system/local/multikv.conf ,然后重启后在输入命令multikv 加参数使用
index=main | multikv conf=tab_mkv
丁佑强
关注
专栏目录
Splunk csv自动提取字段
QYHuiiQ
09-15 428
在使用splunk时,有时候我们想将csv格式的文件数据读入splunk,并且想要使其自动提取表头作为字段名,方便在splunk中使用spl对数据进行一些展示。 经过一系列的测试与摸索,记录下目前的发现: 使用Splunk Enterprise对文件进行monitor,如果文件名以csv结尾,在add data时splunk自动识别为csv格式,并将其sourcetype设置为csv,这样,表头会被自动提取为字段,当所提取的字段名与splunnk内置的一些field重名时,被提取的字段会加上extra
splunk spl语法笔记
QYHuiiQ
08-31 5859
#重命名a为b | rename a as b #日期格式化并计算 | eval t1=strptime(time1,"%Y-%m-%dT%H:%M:%S.%3N%z"),t2=strptime(time2,"%Y-%m-%dT%H:%M:%S.%3N%z") | eval duration=t2-t1 #变量值为0时显示的是变量名,需要如下判断(表示如果b+c等于0,那么结果就是0,否则就等于b+c的值) | eval myvalue=if((b+c)=0,0,b+c) #保留两位小.
Splunk SPL操作
最新发布
qq_45800977的博客
08-29 519
action=purchase | chart count by host | chart avg(count) as "每台服务器平均数““productlist” by clientip | rename clientip as “VIP客户”,count as “产。• sort - clientip, +status, 先基于 clientip 降序,再基于status升序。品总数”,totalproducts as “产品种类”,productlist as “产品列表”
splunk篇3-spl
qq_27886773的博客
01-18 3211
splunk搜索栏中编辑spl搜索语句,即可检索出已经配置的数据源内容,右边时间栏是选择数据源的变动时间来检索 以上篇的http为例,当我的数据发送到splunk后,输出source="http:httptest" ,其中httptest是我建的http event collector的标记,忘记的可以翻上篇。左侧框中的是字段,字段就是昨天发送数据的body里面的json内容。字段可以...
Splunk对接企业微信自定义SPL命令
白M的博客
06-21 717
简介 新版8.0.3使用微信告警APP有问题,旧告警脚本功能被废除,所以做个自定义命令来使用。方便灵活。 环境 Centos7 Splunk 8.0.3 Python2.7 SDK 1.6.13 代码 # coding: utf-8 # 20200621 by # import sys import urllib3 import requests import time from splunklib.searchcommands import dispatch, StreamingCommand,
Splunk系列:Splunk搜索分析篇(四)
03-18 5944
一、简单概述Splunk 平台的核心就是 SPL,即 Splunk 搜索处理语言。它提供了非常强大的能力,通过简单的SPL语句就可以实现对安全分析场景的描述。这里,我们以Linux sec...
spl2dsl:使用Peg.js将Splunk SPL转换为Elasticsearch DSL
05-18
Splunk-SPL-to-ElasticSearch-DSL 基于 SplunkSPL 查询语言转换成 ElasticSearch 的 DSL。 转换结果和 对齐。 可以配置 进行表达式搜索。 Usage const converter = require("./lib/converter") try { const { ...
highlighter:Splunk SPL和其他文件的语法突出显示
04-28
这个程序可以让您对SPL查询,.conf文件,仪表板其他Web组件进行语法高亮显示。 优点是您可以“复制”突出显示的文本并将其粘贴到Word文档或电子邮件中,并且将保留语法突出显示。 完美共享用户更容易理解的查询。 ...
Splunk spl中appendpipe将已操作的数据进行子操作
QYHuiiQ
04-02 600
有时候我们可能会希望将通过spl已经得到数据进行复制,并将新复制的数据加上一个字段来对这两份数据进行不同的业务处理,这时我们可以使用appendpipe命令,该命令就是将前面已执行得到的数据进行appendpipe后面的操作。 由于具体业务中的使用场景不太一样,这里只是实现一下appendpipe的功能: | makeresults | eval _raw="Name, Age, Address Tom, 12, Shanghai Lily, 8, Hangzhou Bob, 16, Beijing"
splparser:用Python编写的Splunk处理语言(SPL)的简单解析器
05-15
该项目为Python中的Splunk处理语言(SPL)提供了一个简单的解析器。 它输出SPL查询的解析树。 它不一定要用作编译器的一部分。 它能够解析最常见的大约132个SPL命令中的66个。 拉请求欢迎。 联络人:Sara ...
splunk搜索参考(中文)
09-01
本手册是“搜索处理语言”(SPL) 的参考指导。搜索参考包含带有完整语法、描述和示例的搜索命令目录。此外,本手册还包含有关命令类别的快速参考信息,可与命令一起使用的函数,以及 SPL 与 SQL 之间的关系。
Splunk查询官方教程_中文
09-02
包含Splunk的官方教程,适用于一般以及高级使用者。全方位解析查询使用。
Splunk-6.2.0-zh_CN-SearchReference 中文版
12-07
Splunk-6.2.0-zh_CN-SearchReference.pdf中文版,Splunk-6.2.0-zh_CN-SearchReference.pdf中文版
Splunk从表格形式的数据中自动抽取字段值
QYHuiiQ
04-02 543
如下示例,给定的原始数据中是一个表格形式的raw event,要想让splunk自动识别并提取出表头及对应的值,可以使用multikv的命令,并使用参数forceheader来指定这个表格形式中第几行为表头,这个值是从1开始的: | makeresults | eval _raw="Name, Age, Address Tom, 12, Shanghai Lily, 8, Hangzhou Bob, 16, Beijing" | multikv forceheader=1 执行结果: mult.
Splunk 列出最近执行的SPL 和用户
shenghuiping2001的专栏
07-10 322
splunk 可以跟踪用户的执行SPL 语句。也可以通过 monitor console 来看。
在大数据场景下借鉴Splunk SPL的提供通用的数据分析手段
ffjl1985的专栏
06-10 3170
Splunk是什么Splunk 是机器数据的引擎。使用 Splunk 可收集、索引和利用所有应用程序、服务器和设备生成的快速移动型计算机数据 。 使用 Splunking 处理计算机数据,可让您在几分钟内解决问题和调查安全事件。监视端到端基础结构,避免服务性能降低或中断。以较低成本满足合规性要求。关联并分析跨越多个系统的复杂事件。Splunk SPL搜索处理语言SPLSplunk Search ...
Splunk大数据分析经验分享:从入门到夺门而逃
weixin_33701564的博客
04-25 3658
2019独角兽企业重金招聘Python工程师标准>>> ...
一张图了解理解Splunk报表调度计划
ffjl1985的专栏
07-03 564
像google那样搜索日志:Splunk
知行合一 止于至善
08-22 8821
ELK功能非常强大,但是在商业软件中有一个更为强大的产品,基本上可以实现ELK所有功能,那就是splunkSplunk于2004年在美国旧金山成立,2012 IPO上市,是大数据业内第一个上市的企业。被誉为大数据领域的领军者之一。
Splunk入门与SPL语言操作指南
章"使用Splunk进行搜寻"进一步深入到SPL语言的使用,通过搜寻仪表板的创建,展示了如何构建可视化报告来监控关键性能指标。此外,章节还详细讲解了如何理解和运用SPL进行复杂的数据查询和分析,帮助读者掌握 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值