![](https://img-blog.csdnimg.cn/20201014180756923.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
splunk
文章平均质量分 50
丁佑强
努力
展开
-
SPL lookup
SPL lookup有几种lookup类型:csv,kv,script lookup,geospatialkv 允许你一对一、每行地更新记录。同时kv 查找可以做数据加速。脚本查找就是写python脚本,例如dns查找查找文件kv和脚本不是必要的。查找定义命令:inputlookup,outputlookup,lookup写配置文件强制哪种类型的数据进行查找collection.conf (/etc/app/tmdb/default)[tmdb_kvstore]enforceTy原创 2022-01-08 23:34:19 · 254 阅读 · 0 评论 -
SPL timechart
timechart从https://docs.splunk.com/Documentation/Splunk/8.1.2/SearchTutorial/Systemrequirements这里下载Prices.csv.zip和tutorialdata.zip ,然后索引进main索引就可以了。而prices.csv解压后创建一个prices.csv的lookup表搜索购买purchase的事件,然后通过查找表去获取关联的字段。index=main action="purchase" | loo原创 2022-01-05 23:34:37 · 682 阅读 · 0 评论 -
Splunk SPL accum
accum字段值为数字的事件,accum命令计算这些数字的累计值和总和。累计值既可以返回一至同一个字段,也可以返回到你新制定的字段。accum <field> as new fieldBacklog 计算累加的总和(tickets_created-ticketes_resolved =Backlog,然后下一行的tickets_created+上一行的Backlog-tickets_resolved=Backlog)accum就是框内那列的求和等于右边的Backlog原创 2022-01-05 23:04:53 · 335 阅读 · 0 评论 -
Splunk SPL(三)multikv
multikv事件是表格形式。如linux命令 netstat 。到这些数据导入splunk时,splunk不会给你自动解析字段,multikv目的就是提取这些事件的字段原创 2022-01-01 13:15:57 · 246 阅读 · 0 评论 -
SPL(二)SPL for sql
SPL(二)SPL for sqlSQL命令SQL例句Splunk例句SELECT *SELECT * FROM mytablesource=mytableWHERESELECT * FROM mytable WHERE mycolumn=5source=mytable mycolumn=5SELECTSELECT mycolumn1,mycolumn2,FROM mytablesource=mytable | FIELDS mycolumn1, mycol原创 2021-12-28 23:38:19 · 558 阅读 · 0 评论 -
SPL(一)不同类型的SPL命令
SPL(一)不同类型的SPL命令了解不同命令内部运作方式流命令和非流命令。流命令模式本质是一个事件输入后一个事件输出。例如eval非流命令,基本工作于一大堆的事件,需要所有索引器的事件。这需要大量数据移动,并且损失并行性。例如sort命令,是非流命令。有两种流命令,一种是分布式流命令,一种中心化流命令。分布式命令不太关注事件的顺序,如果流命令前的所有命令可以跑在索引器上,那么分布式流命令也可以跑。如果人一个在分布式流命令前的命令必须跑在搜索头,当剩下的命令必须跑在搜索头。当搜索处理移动到搜索头,他原创 2021-12-23 23:25:12 · 912 阅读 · 0 评论 -
Splunk 接入 Windows的DNS日志
windows 的dns日志目前在 wins 08之前的版本接入会出错,我自己实际部署过 wins2012是成功的建议使用最新的 micorsoft add-on (当前版本8.0以上)去接入dhcp,下载地址https://splunkbase.splunk.com/app/742/ 。 然后将此包解压放到windows服务器上。先在windows服务器安装 splunk forwarder。安装过程如下输入用户名密码,这个不重要。然后deployment server这里不填index.原创 2021-07-10 23:31:45 · 915 阅读 · 3 评论 -
Splunk 接入 windows的dhcp日志
Splunk 接入 windows的dhcp日志建议使用最新的 micorsoft add-on (当前版本8.0以上)去接入dhcp,下载地址https://splunkbase.splunk.com/app/742/ 。 然后将此包解压放到windows服务器上。先在windows服务器安装 splunk forwarder。安装过程如下输入用户名密码,这个不重要。然后deployment server这里不填indexer这里输入 splunk 服务器的地址将刚才解压完的add-on原创 2021-07-10 22:56:36 · 389 阅读 · 0 评论 -
splunk配置qq邮箱告警
splunk配置邮箱告警点击右上角,服务器设置点击电子邮件设置前往mail.qq.com登录后点击左上角设置点击帐户滚动至下方,开启POP3/SMTP服务。并且点击生成授权码发送短信,获得一串验证码认证用。保存好回到splunk。邮件主机 smtp.qq.com , 密码用刚才短信申请的授权码。保存后,进行报警的测试。另存一个告警,设置告警发送到指定邮箱处...原创 2021-07-10 13:54:58 · 1124 阅读 · 0 评论