Splunk 之切割 API事件event

已于 2022-05-26 14:44:27 修改
阅读量410 收藏
点赞数
分类专栏: splunk 文章标签: splunk shell event
于 2022-05-11 20:24:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shenghuiping2001/article/details/124717862
版权
本文介绍了如何使用awk命令来分割由不同括号包围的数据,以解决Splunk API导入时将多条事件合并为一条的问题。通过示例展示了分割小括号、中括号和大括号内内容的方法,并提供了一个shell脚本来处理API导入数据,将结果保存到指定路径。
摘要由CSDN通过智能技术生成

    最近客户的API 导入的数据,最后发现几万条合并成一条了。每个事件都是用 {} 分开的。

其实利用:echo $file | awk 'BEGIN{ FS="{" ; RS="}" } NF>1 { print $NF }' 就可以分割。

1: 下面附上另外三种 :小括号,中括号,大括号 的分割方法:

[root@localhost ~]# var="aaa(boot)bbbsdl(grub)fjjkdsjk(good)aadsff"

[root@localhost ~]# echo $var

aaa(boot)bbbsdl(grub)fjjkdsjk(good)aadsff

[root@localhost ~]# echo $var | awk 'BEGIN{ FS="(" ; RS=")" } NF>1 { print $NF }'

boot

grub

good

linux shell取中括号[]之内的内容

[root@localhost ~]# var="aaa[boot]bbbsdl[grub]fjjkdsjk[good]aadsff"

[root@lo

了解本专栏 订阅专栏 解锁全文 超级会员免费看
shenghuiping2001
关注
专栏目录
订阅专栏
Splunk中使用mvexpand mvzip将同一行的多值数据拆分成多条数据
QYHuiiQ
06-20 1531
参考:https://community.splunk.com/t5/Splunk-Search/mvexpand-multiple-multi-value-fields/m-p/21970
Splunk中将一条多行记录拆成多条记录
QYHuiiQ
09-15 729
splunk中,有些数据可能是一条记录,但是这条记录存在换行,所以我们想把每一行都拆分成单独的一条数据,使用如下正则: index="xxx" source="yyy" | rex max_match=0 "^(?<lines>.+)\n*" | mvexpand lines | table lines ......
Splunk API : {“preview“:false,“lastrow“:true}
shenghuiping2001的专栏
09-13 419
Splunk API 可以保存成很多格式,当然有些报错,其实都不是啥错,就是没有返回结果:preview":false,"lastrow":true}
Splunkevent多值字段取特定下标的值
QYHuiiQ
12-29 863
Splunk event中有的字段可能是有多个值,在该字段中呈多行展示,如果我们想要取特定下标的值,可以使用mvindex函数: index="xxx" | eval total_count=mvindex(count_value, 1) | table total_count #count_value为event 中含有多值的字段,下标从0开始,这里取1表示取count_value中的第二个值 ......
splunk api手册
10-18
splunk6.0的相关说明文档。繁体中文。
Splunk-Class-httpevent:将事件提交到Splunk HTTP Event Collector的Python类
05-02
用于将事件发送到Splunk HTTP事件收集器的Python类 版本/日期:1.81 2020-08-15 作者:George Starcher(starcher)电子邮件: 感谢钱德勒·纽比(Chandler Newby)将其纳入线程设计。 感谢Paul Miller的点子支持...
splunk-log-connector:用于IBM Integration Bus的SplunkLog连接器使集成开发人员有机会直接从消息流发送日志事件,而不是通过诸如文件或syslog之类的中间层发送日志事件。 连接器使用Splunk REST API事件直接插入到Splunk实例中
05-15
连接器使用Splunk REST API事件直接插入到Splunk实例中。 “ [...] Splunk是一家美国跨国公司,总部位于加利福尼亚州旧金山,其通过网络样式的界面生产用于搜索,监视和分析机器生成的大数据的软件。 Splunk...
(常用API)正则表达式切割练习
Leon_Jinhai_Sun的博客
03-29 171
package cn.learn.demo01; public class RegexDemo1 { public static void main(String[] args) { replaceAll_1(); } /* * "Hello12345World6789012"将所有数字替换掉 * String类方法replaceAll(正则规则,替换后的新字符串) ...
安全运营 -- splunk api接口调用
热门推荐
leeezp的博客
06-24 16万+
有些重复性的查询,人工查询耗时,于是想到用脚本自动化填充查询参数,并且通过python调用splunk api
splunk-sdk-java:Splunk Java软件开发套件
05-28
适用于Java的Splunk企业软件开发套件 版本1.6.5 Java的Splunk企业软件开发套件(SDK)包含库代码和示例,旨在使开发人员能够使用Splunk平台构建应用程序。 Splunk平台是一个搜索引擎和分析环境,它使用分布式map-reduce体系结构来有效地索引,搜索和处理大型时变数据集。 Splunk平台在系统管理员中很流行,用于聚合和监视IT机器数据,安全性,合规性以及各种各样的其他场景,这些场景共享有效的索引,搜索,分析并从大量信息实时生成通知的要求。时间序列数据。 Splunk开发人员平台使开发人员可以利用Splunk平台所使用的相同技术来构建令人兴奋的新应用程序。 有关更多信息,请参见Splunk开发人员门户上的 。 Splunk Enterprise SDK for Java入门 Splunk Enterprise SDK for Java包含库代码和示
splunk与日志分析
allinallp的博客
06-09 4210
splunk与日志分析splunk的使用splunk配置日志字段提取日志分析场景已知ip,查看行为 splunk的使用 在安全服务的多种场景下,我们都离不开日志分析这项工作,特别是在应急与溯源的过程中,日志分析成为快速定位问题的重要方式。轻量级的日志分析我们通常使用文本编辑器或者excel等具备简单筛选功能的工具进行查看,但是对于大量级的日志分析,在很多场景下这些工具不再适用,下面我将介绍splunk这款工具在日常应急及溯源工作中使用的一些思路。 splunk配置 打开splunk选择search&
splunk之获取数据(Ingesting Data)
liangkaiping0525的博客
08-16 2299
Ingesting Data 下载数据地址:http://splk.it/f1data     use uname in the Username field and 5p1unkbcup for the Password field.  
安全运营 -- splunk api接口调用返回值突破100条限制
leeezp的博客
07-28 14万+
为了方便做一些自动化的项目,解放双手。需要通过API来访问splunk。 默认情况下,即使搜索结果中有100个以上的事件,一次搜索也最多返回100个事件
调用splunk api时获得json格式的数据
豆之助
03-30 4472
在调用 splunk RESTFUL API时 官方文档上写的返回的数据格式都是xml,用python解析起来很不方便 实际上在api url 后面加上 "?output_mode=json" 就可以获得json格式的数据了 这个特性对于splunk的所有restapi接口有效。 但是为什么文档不写呢
Splunk 输出取 / 分割符 之间的部分
最新发布
shenghuiping2001的专栏
09-17 190
Splunk 输出取 / 分割符 之间的部分
awk语法
u010224557的博客
04-30 269
awk 语法结构 awk 选项 ‘命令部分’ 文件名 内部相关变量 $0 当前处理行的所有记录 $1,$2,$3 … $n 文件中每行以间隔符号分割的不同字段 NF 当前记录的字段数(列数) $NF 最后一列 FNR/NR 行号 FS 定义间隔符 OFS 定义输出字段分隔符,默认空格 RS 输入记录分割符,默认换行 ORS 输出记录分割符,默认换行 测试数据准备 cp /etc/passwd passwd awk -F: ‘{print $1 , $(NF-1)}’ passwd ; ...
Linux脚本 括号,linux shell取小括号()、中括号[]、大括号{}等里的内容
weixin_32485901的博客
05-01 2267
linux shell取小括号()之内的内容[root@localhost ~]# var="aaa(boot)bbbsdl(grub)fjjkdsjk(good)aadsff"[root@localhost ~]# echo $varaaa(boot)bbbsdl(grub)fjjkdsjk(good)aadsff[root@localhost ~]# echo $var | awk 'BEGI...
awk 的内置变量 NF、NR、FNR、FS、OFS、RS、ORS
edgar_t的博客
12-09 2160
NF 字段个数,(读取的列数) NR 记录数(行号),从1开始,新的文件延续上面的计数,新文件不从1开始 FNR 读取文件的记录数(行号),从1开始,新的文件重新从1开始计数 FS 输入字段分隔符,默认是空格 OFS 输出字段分隔符 默认也是空格 RS 输入行分隔符,默认为换行符 ORS 输出行分隔符,默认为换行符 NF 读取记录的字段数(列数),例如: [root@localhost test]# awk '{print "字段数:" NF}' test 字段数:4 字段数:4 字段数:3 字段数:4 字
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

shenghuiping2001

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值