Splunk 丰富数据方法

最新推荐文章于 2022-07-06 17:07:22 发布
最新推荐文章于 2022-07-06 17:07:22 发布
阅读量319 收藏 1
点赞数 1
文章标签: 数据库 运维
原文链接:http://www.cnblogs.com/lanshiyun/p/10703999.html
版权
Splunk 丰富数据方法
方法1: 查找
Step
1.创建CSV文件,首字段为索引字段(关联字段)
2.导入CSV文件,Settings, Lookups, Lookup tables files
3.配置Lookup definitions
4.配置Automatic lookups
 
方法2:在IP地址中添加主机名
Step
1.编辑/opt/splunk/etc/apps/search/local/transforms.conf
添加以下文本
[dnsLookup]
external_cmd = external_lookup.py host ip
fields_list = host, ip
2.执行以下搜索语句
index=main sourcetype="access_combined" | lookup dnsLookup clientip
# 以上语句将字段clientip 上传到脚本使用DNS查找IP,返回clienthost。
开启自动外部字段查找,需编辑/opt/splunk/etc/apps/search/local/props.conf
[access_combined]
LOOKUP-dns = dnsLookup clientip OUTPUTNEW clienthost AS resolved_hostname
 
方法3:为给定的IP地址搜索ARIN
Step
1.Setting, Fields, Workflow actions
2.New, 勾选Show only objects created in this app context
3.
Destination APP: search
Name: ARIN_Lookup
Label: Lookup $clientip$ in APIN
Apply only to the following fields: clientip
Show action  in: Both
Action type: link
Link configuration URL: http://whois.arin.net/rest/ip/$clientip$
Link configuration URL: http:// tool.chinaz.com/ipwhois?q=$clientip$
 
 
Link method: get
 
方法4: 从数据库查询db connect
posted on 2019-04-14 09:33 minilabs 阅读( ...) 评论( ...) 编辑 收藏

转载于:https://www.cnblogs.com/lanshiyun/p/10703999.html

爱不到要偷
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Splunk子查询模糊匹配csv中字段值为*
QYHuiiQ
07-06 879
之前我们的案例中常用的是直接在spl中用*来模糊匹配,但是如果在一个csv中定义某个字段的值为*,然后在spl里对该csv进行查询时,这个*值是否还表示模糊匹配?针对这个疑问,做了如下测试: 查看csv: 这条数据中的学生名字是以开头的,如果csv中的T*可以表示模糊匹配的话,那么我们的执行结果应该是可以查询出来这条数据,如果csv中的T*表示字符串"T*",那么就查不出来结果。执行结果:Case1:Case2: 说明csv中的T*表示模糊匹配。Case3:Case4:通过上面的测试可以得出,csv
Splunk csv自动提取字段
QYHuiiQ
09-15 393
在使用splunk时,有时候我们想将csv格式的文件数据读入splunk,并且想要使其自动提取表头作为字段名,方便在splunk中使用spl对数据进行一些展示。 经过一系列的测试与摸索,记录下目前的发现: 使用Splunk Enterprise对文件进行monitor,如果文件名以csv结尾,在add data时splunk会自动识别为csv格式,并将其sourcetype设置为csv,这样,表头会被自动提取为字段,当所提取的字段名与splunnk内置的一些field重名时,被提取的字段会加上extra
Splunk系列:Splunk数据导入篇(二)
11-15 6566
一、简单概述 splunk支持多种多样的数据源,支持上传文件,监控本地的文件,配置通用转发器等方式。所有的设置基本上都可以通过Web页面、splunk CLI命令和直接修改配置文件(需重启splunk生效)三种方式。 最常见的两种场景,比如收集syslog 日志以及使用通用转发器(Agent)收集数据,我们来做一个简单的应用示例吧。 二、应用实例:收集syslog日志 2.1、Linuxrsy...
使用python实现splunk 读取csv文件数据并存储到collection中
QYHuiiQ
08-08 643
from configparser import ConfigParser import splunklib.client as splunkClient import requests import json import sys import urllib3 import csv utllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning) #load splunk config def loadConfig(file.
Splunk props.conf配置
qq_42938493的博客
01-01 755
props参数 SHOULD_LINEMERGE 默认为true,日志不会根据分行分成多个事件。false则会分成多个事件 LINE_BREAKER 将事件分行,通过正则捕获分组来后,被匹配的作为前一个事件的结束然后换行,被捕获的内容会被丢弃。 ------ 111<message>222<message>333 ------ 输入(< message>)变为 ------ 111 222 333 ----- BREAK_ONLY_BEFORE 将事件内匹配
Splunk
02-08
**正文** Splunk是一款强大的日志管理和分析工具,它...总之,Splunk 是一个全面的数据操作平台,通过其丰富的功能,企业可以充分利用机器生成的数据,提升运维效率,加强安全管理,驱动业务洞察,并实现数字化转型。
Splunk:Splunk
06-18
- **可视化(Visualization)**:Splunk 提供了丰富的可视化组件,如图表、仪表板和地图,将数据转化为直观的图形展示,便于理解和决策。 **2. Splunk 的版本与安装** 提到的 "Splunk 这个应用程序是由大卫...
splunk 7.0 中文手册
04-09
Splunk是一款强大的日志管理和分析工具,它能够收集、索引、搜索、监视和分析各种机器生成的数据。本手册是针对Splunk 7.0版本的中文版,提供了详尽的操作指南和参考资料,帮助用户更好地理解和使用这个平台。以下是...
Splunk查询csv lookup table数据动态查询
QYHuiiQ
07-06 713
在实际应用中,我们可能会遇到有些数据信息需要动态管理,并在spl中根据这些信息动态执行查询。也就是说我们以往我们可能会把查询条件直接放在| search后面执行,先在我们想把这个条件定义在lookup中,然后将lookup中的这个条件追加在| search后面。当然,这个实现你可以用在| search后面,也可网易用在各种splunk的命令行后面,只不过这里为了方便理清功能,就以| search为例。以下面的案例为例:在学校举行的各次考试中,可能有些时候考试难度较大,有些时候难度较小,那么我们在判定学生每次
splunk学习笔记——lookup table
Cwiky_1993的博客
05-24 6118
1.需求查找近一个月内没有使用过邮箱的用户2.准备 邮件日志:mail-iislog 所有用户的邮箱地址文件mail.csv(必须是csv格式) 3.具体操作通过查询官方文档《Search Reference》,inputlookup命令可以满足需求。 目的:查找在mail.csv中出现,但在mail-iislog中没有出现的用户名 实现: a. 导入mail.csvsplunk中作为查找表
splunk 7.3.0 导出csv文件报错
scrOUT的博客
07-18 973
刚刚接触splunk,在使用Search & Reporting应用导出CSV文件时,发现数据量小的可以导出,数据量稍大的导出就比较随缘,出现网址找不到或者永久性移除页面。 在逛了各种社区和查询splunk文档之后,发现需要修改 web.conf 配置文件。 但是splunk修改配置有个比较特殊的地方: 打开$SPLUNK_HOME/etc/system/default/web....
splunk篇5-导出csv文件中文乱码
qq_27886773的博客
01-18 1794
dashboard里面有一个table,table里面的中文内容正常,但是导出成csv文件的时候,用excel打开中文乱码,用notepad代码内容正常。到这里有经验的同学应该知道问题出在哪里了,没错就是csv文件缺少了BOM头。所以用excel打开就是乱码的。 本来是一个很简单的问题,自己在写导出功能的时候也曾碰到过此类问题,只需要在字节流的最前面追加3个字节的bom字节就好了,但是这个问题是...
实战-splunk 导入并分析本地数据
shenghuiping2001的专栏
10-02 1058
1: Splunk支持.zip和.tar.gz等压缩包格式,splunk会对上传的压缩包自动解压缩. 采用上传(Upload)的方式从本地导入数据 // Splunk有 上传、监视本地、来自转发三种添加数据的方式 设定路径中的段为主机名,如压缩包:/waf/secure.log,我们可以取waf为主机host名称 Splunk会自动为它们确定数据源类型(sourcetype) 创建单独的App,名为jiabao,并在该App中查看导入的数据 步骤: 2)、 开始添加数据,左上角选择刚才创建
SPLUNK 简单查询语句| lookup使用
weixin_42215229的博客
09-11 7468
Here is offical document: http://docs.splunk.com/Documentation/SplunkCloud/7.0.2/Search/GetstartedwithSearch | inputlookup all_w  | search slavename="MAC-BUILD-GIT*" | join type=outer slavename     [...
SPL timechart
qq_42938493的博客
01-05 684
timechart 从https://docs.splunk.com/Documentation/Splunk/8.1.2/SearchTutorial/Systemrequirements这里下载Prices.csv.zip和tutorialdata.zip ,然后索引进main索引就可以了。而prices.csv解压后创建一个prices.csv的lookup表 搜索购买purchase的事件,然后通过查找表去获取关联的字段。 index=main action="purchase" | loo
Splunk数据分析经验分享:从入门到夺门而逃
weixin_33701564的博客
04-25 3556
2019独角兽企业重金招聘Python工程师标准>>> ...
splunk数据脱敏
BigDatayun的博客
06-22 562
一、匿名化数据方式 针对数据进入索引前匿名化数据Splunk Enterprise提供了二种方式: 使用正则表达式(regex)转换。此方法需要花费较长的时间配置,但是在初始配置后更易于修改,并且可以更轻松地分配给多个数据输入。 使用SEDCMDsed脚本之类的脚本进行替换。sed脚本方法更易于执行,花费的时间更少,并且比转换要快。但是,您可以调用多少次SEDCMD以及它可以执行的操...
单机版splunk创建索引和重写source,sourcetype,原日志保持不变
quguilai2006的专栏
09-06 912
indexes.conf [custom] homePath   = $SPLUNK_DB\custom\db coldPath   = $SPLUNK_DB\custom\colddb thawedPath = $SPLUNK_DB\custom\thaweddb tstatsHomePath = volume:_splunk_summaries\custom\datamodel_...
Splunk数据分析实战指南
6. **应用程序开发**:Splunk提供了丰富的API和SDK,允许开发者构建自定义的应用程序和插件。书中会涵盖如何利用这些工具扩展Splunk的功能。 7. **性能优化与扩展**:随着数据量的增长,优化 Splunk 的性能和扩展性...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值