【优化】Splunk 编写高效 查询语句

已于 2023-11-25 16:11:06 修改
阅读量941 收藏 12
点赞数 14
分类专栏: splunk 文章标签: splunk 查询 SPL optimization 优化
于 2023-11-23 07:41:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shenghuiping2001/article/details/134567650
版权

1: 背景:

splunk 的查询语句的是否优化,对是否节省资源有很大的影响。下面说一下大概的方法:

There are a set of basic principles that you can follow to optimize your searches.

  • Retrieve only the required data

  • Move as little data as possible

  • Parallelize as much work as possible

  • Set appropriate time windows (设置合适查询时间)


To implement the search optimization principles, use the following techniques.

  • Filter as much as possible in the initial search

  • Perform joins and lookups on only the required data

  • Perform evaluations on the minimum number of events possible

  • Move commands that bring data to the search head as late as possible in your search criteria

2: 用个实际的查询例子来说明:

A frequently used search

One search that is frequently used is a search that con

了解本专栏 订阅专栏 解锁全文 超级会员免费看
shenghuiping2001
关注
  • 14
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
Splunk search命令
QYHuiiQ
03-06 2010
splunk的| search命令中我们可能想要对base search中的数据和子查询中的数据进行一个筛选,比如说将base search中某个字段与子查询中某个字段进行对比筛选,一下面的测试为例: | base search ... ... | search [| inputlookup test.csv | fields name,age] #该例表明对base search数据中的name和age字段与inputlookup中的name和age进行对比,筛选出base sea
Splunk查询官方教程_中文
09-02
包含Splunk的官方教程,适用于一般以及高级使用者。全方位解析查询使用。
splunk 学习笔记之二[搜索语法]
weixin_30598225的博客
08-01 1181
splunk 搜索语法 全文搜索 搜索框直接输入”搜索词“   purchase 查找匹配词”purchase“ 字段搜索 字段名=”搜索词“ source="Sampledata.zip:./apache3.splunk.com/access_combined.log" 查找数据来源为"Sampledata.zip...
Splunk中base search的使用
QYHuiiQ
03-18 796
在dashbaord中有时可能多个panel里会使用一些共同的源数据,这时我们可以把这些查询共同数据的代码提取出来作为base search,然后在各个panel spl里引用。 eg: 定义base search: <search id="baseSearchForStudent"> //这里要指定id,后面才可以引用这个id <query> index="aaa" sourcetype="bbb" ... //将公共的查询语句写在这里 .
SPLUNK 简单查询语句| lookup使用
weixin_42215229的博客
09-11 7372
Here is offical document: http://docs.splunk.com/Documentation/SplunkCloud/7.0.2/Search/GetstartedwithSearch | inputlookup all_w  | search slavename="MAC-BUILD-GIT*" | join type=outer slavename     [...
Splunk大数据分析经验分享:从入门到夺门而逃
weixin_33701564的博客
04-25 3471
2019独角兽企业重金招聘Python工程师标准>>> ...
splunk搜索手册(中文)
09-01
splunk搜索手册(中文): 该手册介绍 Splunk 搜索以及如何使用 Splunk 搜索处理语言。 如果您之前未使用过 Splunk Enterprise 和搜索,可以从“搜索教程”开始。搜索教程介绍搜索和报表应用,逐步指导您 添加数据、...
splunk-9.1.0.2
最新发布
08-15
Splunk Enterprise 是一款软件产品,可让您搜索、分析和可视化从 IT 基础架构或业务的组件收集的数据。Splunk Enterprise 从网站、应用程序、传感器、设备等接收数据。定义数据源后,Splunk Enterprise 会索引数据流...
SPLUNK8.2.0中文手册
03-18
SPLUNK8.2.0中文手册,涵盖安装、数据接入、检索等内容,中文版本
Splunk安装和使用
02-24
Splunk是机器数据的引擎。使用Splunk可收集、索引和利用所有应用程序、服务器和设备(物理、虚拟和云中)生成的快速移动型计算机数据。从一个位置搜索并分析所有实时和历史数据。使用Splunking处理计算机数据,可让...
Splunk-7.3.0-Search_zh-CN.pdf
09-10
Splunk® Enterprise 7.3.0 搜索⼿册 搜索⼿册 官方文档中文版............
splunk搜索教程(中文)
09-01
本教程将告诉您在开始使⽤ Splunk 之前您需要知道些什么,内容包括⾸次下载、如何创建丰富的交互式仪表盘等。本教程包括⼀个样本数据集,该数据集由虚构网上商店的 Web 服务器和 MySQL ⽇志组成。请按照详细说明将此数据添加到您的 Splunk 实例中。
splunk语法
09-08
splunk语法是学习splunk的快速入门指导书 谁下载谁知道;更多详情请点击:linuxdiy.taobao.com
splunk搜索参考(中文)
09-01
本手册是“搜索处理语言”(SPL) 的参考指导。搜索参考包含带有完整语法、描述和示例的搜索命令目录。此外,本手册还包含有关命令类别的快速参考信息,可与命令一起使用的函数,以及 SPL 与 SQL 之间的关系。
Splunk 与MySQL的查询语句简单对比
wq4zmi08的博客
06-20 905
Splunk语句: index=app sourcetype="ews-hotel-service-transactions" | fields Lpas_RTT | timechart perc99(Lpas_RTT) as Lpas_TP99 MySQL语句: select Lpas_RTT fromews-hotel-service-transactions. 后面的 timech...
大数据搜索选开源还是商业软件?ElasticSearch 对比 Splunk
weixin_34326429的博客
05-02 848
本文就架构,功能,产品线,概念等方面就ElasticSearchSplunk做了一下全方位的对比,希望能够大家在制定大数据搜索方案的时候有所帮助。 简介 ElasticSearch (1)(2)是一个基于Lucene的开源搜索服务。它提供了一个分布式多用户能力的全文搜索引擎,基于RESTful web接口。Elasticsearch是用Java开发的,...
splunk官方文档学习笔记【安装,添加数据,搜索功能,管道命令】这一篇带你了解splunk
m0_48325361的博客
08-23 2288
文章目录前言一、splunk介绍1.安装2.添加数据二、splunk搜索功能1.匹配搜索2.字段搜索3.管道命令(|)4.子搜索([]) 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、splunk介绍 1.安装 2.添加数据 二、splunk搜索功能 1.匹配搜索 2.字段搜索 3.管道命令(|) 4.子搜索([]) ...
Splunk的基本使用心得
热门推荐
ssegrub的博客
08-27 1万+
Splunk的一些基本使用心得
Splunk系列:Splunk搜索分析篇(四)
03-18 5771
一、简单概述Splunk 平台的核心就是 SPL,即 Splunk 搜索处理语言。它提供了非常强大的能力,通过简单的SPL语句就可以实现对安全分析场景的描述。这里,我们以Linux sec...
splunk搜索语句两个条件
06-06
你可以通过在Splunk搜索语句中使用逻辑操作符AND和OR来指定多个搜索条件。以下是一个示例: ``` index=my_index sourcetype=my_sourcetype (field1=value1 AND field2=value2) OR (field3=value3 AND field4=value4) ``` 这个语句将在名为“my_index”的索引和“my_sourcetype”类型的日志中搜索数据,并根据以下条件进行过滤: - 字段“field1”等于“value1”且字段“field2”等于“value2”; - 或者字段“field3”等于“value3”且字段“field4”等于“value4”。 你可以根据你的需要添加或删除条件,以满足你的搜索需求。注意,AND和OR操作符的优先级不同,应该使用括号来明确指定条件的逻辑关系。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

shenghuiping2001

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值