Splunk笔记

最新推荐文章于 2024-04-18 09:28:20 发布
最新推荐文章于 2024-04-18 09:28:20 发布
阅读量412 收藏 1
点赞数
原文链接:http://www.cnblogs.com/xiaoxiaoleo/p/8135862.html
版权

       学习Splunk Fundamentals Part 2 (IOD) 和 Splunk Fundamentals Part 1课程的笔记。

  1. Chart

    1. Over

    2. By

    3. Tips:

      1. ….|chart count over host by product_name usenull=f useother=f
      2. Only first value after by modifier effect

  2. Timechart

    1. Time is alwarys the X axis
    2. Only first value after by modifier effect
    3. Span=12hr
    4. Use the limit option to include only the 5 best-selling products.
    5. Splunk automatically calculates the top products by totaling each column and taking the top n results (n being the number you specify in your limit).
    6. …|timechart count by product_name limit=0

  3. Iplocation

    1. …|iplocation src_ip

  4. Maps

    1. Marker maps
    2. Choropleth maps

  5. Geostats

    1. …|geostats latfield=xx longfield=xx count
    2. Latfield

  6. Geom

    1. (geom geo_us_states featureIdField=VendorStateProvince)
    2. index=sales sourcetype=vendor_sales VendorID < 3000 |chart count by VendorStateProvince |geom
    3. geo_us_states featureIdField=VendorStateProvince

  7. Trendline

    1. Wma2 weighted moving average
    2. Sma simple moving average
    1. Ema exponenial moving average 指数

  8. Addtotals

    1. Col=true
    2. Label="xx"
    3. Labelfield="xx"
    4. Fieldname=xx
    5. Row=false

  9. Eval

    1. Tostring format values will changing their characteristics
    2. destination field for the eval command
    3. already exists overwritten by the new field
    4. defined in the eval command

  10. Fieldformat

    1. Not change chararistic

  11. Search

    1. index=security sourcetype=linux_secure fail* |stats count by user|search count>3 |sort -count
    2. 不可以接函数,where场景更多

  12. Where

    1. index=network sourcetype=cisco_wsa_squid |stats count by http_content_type |eval type=if(http_content_type LIKE "image%","graphic","other")
    2. No results are found because the search command cannot compare values from two different fields. (As you saw earlier, the where command can do this.)
    3. … | where a>2 AND b>4

  13. Lookup

  14. Transaction

    1. Endwith
    2. Startwith
    3. : The search command must be downstream from the transaction command.
    4. Duration
    5. Eventcount
    6. Maxspan

  15. Name conventions

    1. Group

    2. Type

    3. Platform

    4. Category

    5. Time

    6. Description

    7. Tips:

      1. OPS_WFA_Network_Security_na_IPwhoisAction
      2. It is suggested that you name your Knowledge Objects using 6_ segmented keys.

  16. Field Extractor (FX)

    1. Extract your own field

    2. Access FX via Settings, Fields Sidebar, or Event Action menu

    3. Extraction Methods

      1. Regex
      2. Delimiter

  17. Field Aliaes

    1. A way to normalize data
    2. Support multiple aliases
    3. Applied after field extractions,before lookup
    4. Can apply to lookup

  18. Calculated

    1. A caculated field must be based on an extracted or discovered field, Not from lookup table or search

  19. Tags

    1. Nicknames for related field/values

    2. One or more tags for any field/values

    3. Case Sensitiv

    4. Search syntax

      1. Tag=tagenam
      2. Tag::filed=tagname
      3. Tag=p* (partial field value)

  20. Even Types

    1. Categorizing events based on search
    2. Tagged to group similar types of event
    3. No time range
    4. Can be inclued in a search sting

  21. Macro

    1. Store entire search strings
    2. Time range independent
    3. Pass arguments to the search
    4. Expanding search ctr+shift+e

  22. Workflow

    1. Get workflow
    2. Post workflow
    3. Search workflow

  23. Knowledge Object

  24. Data Models

    1. Data model is structured datasets

    2. 3 types dataset

      1. Events
      2. Searchs
      3. Transacitons

    3. Acceleration

  25. Events Dataset

    1. Constraints
    2. Fields

  26. Dataset field

    1. Auto-extractd

      1. Field type

        1. String
        2. Number
        3. Boolean
        4. IPV4

      2. Field flags

        1. Optional
        2. Required
        3. Hidden
        4. Hidden & required

    2. Eval expression

    3. Lookup

    4. Regular expression

    5. Geo ip

  27. Pivot

    1. Used for creating reports and dashboards, which are based on dataset

  28. CIM Add-on ( Common Information Model)

    1. Normalize data
    2. Easier correlation data
    3. Object permission

  29. Datamodel command

    1. |datamodel Web Web search |fields web*

 

转载于:https://www.cnblogs.com/xiaoxiaoleo/p/8135862.html

weixin_30698527
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
splunk spl语法笔记
QYHuiiQ
08-31 5600
#重命名a为b | rename a as b #日期格式化并计算 | eval t1=strptime(time1,"%Y-%m-%dT%H:%M:%S.%3N%z"),t2=strptime(time2,"%Y-%m-%dT%H:%M:%S.%3N%z") | eval duration=t2-t1 #变量值为0时显示的是变量名,需要如下判断(表示如果b+c等于0,那么结果就是0,否则就等于b+c的值) | eval myvalue=if((b+c)=0,0,b+c) #保留两位小.
Splunk中判断某字段值是否为空
QYHuiiQ
02-19 883
Splunk中有时会需要用到对字段值进行判断是否有值,这里指的是有值或者空白无值,不是指的字符串null的判断。 isnull(fieldName) #返回true则表示该字段值是空白,无值,反之表示有值 isnotnull(fieldName) #返回true则表示该字段值有值,非空白,反之表示没有值 该布尔值的判断可以用在if等boolean类型的引用中或| where命令后面,但不可用在| search命令之后,否则不能识别该function。 ......
Splunk简介,部署,使用
justlpf的专栏
04-26 2253
收集,存储,索引,搜索,关联,可视化,分析和报告日志管理用例日志整合和保留,安全性,IT操作故障排除,应用程序故障排除以及合规性报告Splunk 是一款顶级的日志分析软件,如果你经常用 grep、awk、sed、sort、uniq、tail、head 来分析日志,那么你需要 Splunk。能处理常规的日志格式,比如 apache、squid、系统日志、mail.log 这些。对所有日志先进行 index,然后可以交叉查询,支持复杂的查询语句。然后通过直观的方式表现出来。
Splunk工具学习(下载、安装、简单使用、核心概念),网络安全面试题及解析
最新发布
04-18 422
splunk的一个可扩展且可靠的数据平台,用于调查、监控、分析和处理您的数据,在加速创新的同时确保安全性和系统弹性,释放资源来发现数据中的机会并提供创新,即使面对不可预测性也是如此。随着攻击的复杂性和攻击面不断扩大,确保强大的安全态势越来越具有挑战性。Splunk 使客户能够实现其安全运营的现代化,在混合、多云环境中提供更强大、统一的安全态势。结果是:更高效、更敏捷的安全运营中心(SOC) 支持业务增长。随着以数字方式开展的业务的比例持续飙升,系统弹性已成为业务弹性的关键。
splunk防火墙日志的分析(地图显示)
achejq的专栏
05-05 3247
将防火墙日志导入splunk 搜索drop信息相关信息:msg=*dropped* source ip的归属地:相关函数 iplocation (iploc_len,iploc_log) 地理信息统计相关函数:geostats  host="*.*.*.*" msg=*dropped* | iplocation prefix=iploc_ allfields=true src | fiel
Splunk中判断某字段包含某个字符串
QYHuiiQ
04-02 1376
在实际业务中有时我们会用到对某个字符串或字段是否包含某个特定的关键字或字符串来进行不同的逻辑处理,在Splunk中我们使用like函数实现这一判断: | eval row_log="03/29/2022 14:34:25 INFO The host finished uploading file." | eval state=if((like(row_log, "%finished%") AND like(row_log, "%INFO%")), "Completed", "Failed") #这里使
Splunk macros 从理论到实践
shenghuiping2001的专栏
07-30 147
Splunk 的Maros 可以设置一个查询规则,然后可以根据参数 (argument) 不一样,来动态的展示输出结果。Splunk 还是强大啊~
SPLUNK8.2.0中文手册
03-18
SPLUNK8.2.0中文手册,涵盖安装、数据接入、检索等内容,中文版本
splunk数据导入
01-05
使用脚本(定期使用脚本来获得数据,将脚本放在$splunk_home\bin\scripts目录中) 使用模块输入 需要下载应用command modular input,安装好后在数据输入里面有“command”,用于新建模块。如c:\windows\system32\...
Splunk指南6.6.0
08-17
该⼿册介绍搜索和报表应⽤以及如何使⽤ Splunk 搜索处理语⾔ (SPL)。 搜索和报表应⽤简称为搜索应⽤,是您在 Splunk 部署中导航数据的主要⽅式。搜索应⽤由⼀个基于⽹络的界⾯ (Splunk Web)、⼀个命令⾏界⾯ (CLI) ...
splunk 2020最新下载
12-15
splunk 日志分析软件 Splunk 会收集、索引和利用由应用程序、服务器和设备(物理、虚拟和云中)生成的快速移动计算机数据。您可以在几分钟内(而不是几个小时或几天)解决应用程序问题和调查安全事件,还可避免服务...
splunk搜索教程(中文)
09-01
本教程将告诉您在开始使⽤ Splunk 之前您需要知道些什么,内容包括⾸次下载、如何创建丰富的交互式仪表盘等。本教程包括⼀个样本数据集,该数据集由虚构网上商店的 Web 服务器和 MySQL ⽇志组成。请按照详细说明将此数据添加到您的 Splunk 实例中。
Sampledata-splunk.zip
08-04
Sampledata,splunk,测试使用的数据,便于分析,学习
splunk入门教程
03-29
splunk入门教程,资源监控部署步骤,linux环境与windows环境
Splunk chart中如何设置interval
QYHuiiQ
06-20 546
我们在splunk dashboard中做一些chart图的时候可能需要设置一下横坐标中的时间间隔,但是splunk中只有timechart命令提供了span参数来设置时间间隔,如果我们的业务需要智能s
Splunk大数据分析经验分享:从入门到夺门而逃
weixin_33701564的博客
04-25 3515
2019独角兽企业重金招聘Python工程师标准>>> ...
splunk大数据分析 从入门到实践
qq_38111600的博客
07-02 4328
目录0×01 初识splunk0x02 Linux上安装Splunk0x03 Windows上安装Splunk0×04 Splunk安装后配置 0×05 Splunk的目录结构 0×06 Splunk常用的CLI命令  0×07 实战-导入数据前的准备 0×08 实战-导入并分析本地数据-10×09 实战-导入并分析本地数据-20×10 使用转发器转发数据0×11 实战-数据分析和可视化-1 0×...
splunk java
02-29
Splunk是一种用于实时监控、搜索、分析和可视化大规模机器生成的数据的软件平台。它提供了一种强大的方式来处理和分析各种类型的数据,包括日志文件、事件数据、指标数据等。 Splunk提供了多种编程语言的SDK,其中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值