splunk 搜索语法(转)

最新推荐文章于 2024-07-14 12:56:14 发布
最新推荐文章于 2024-07-14 12:56:14 发布
阅读量984 收藏 3
点赞数 2
原文链接:https://my.oschina.net/jccpp/blog/157171
版权

为什么80%的码农都做不了架构师?>>>   hot3.png

splunk 搜索语法

全文搜索

     搜索框直接输入”搜索词“  

   purchase

     查找匹配词”purchase“

字段搜索

     字段名=”搜索词“

     source="Sampledata.zip:./apache3.splunk.com/access_combined.log"

     查找数据来源为"Sampledata.zip:./apache3.splunk.com/access_combined.log"

通配符搜索

     source="Sameledata.zip:.apache*"

     查找数据来源为apache开头的所有来源

逻辑组合搜索

    source="Sampledata.zip:./apache3.splunk.com/access_combined.log" purchase NOT 200

    查找数据来源为"Sampledata.zip:./apache3.splunk.com/access_combined.log" 并且字符串匹配词 "purchase" 并且字符串中不匹配200

嵌套搜索

    查找错误码

  error OR failed OR (souretype = access*(404 OR 500 OR 503))

    当然你可以加上status字段

    (sourcetype=access*(status=404 OR status=500 OR status=503)) host="apache3.splunk.com"

使用管理命令

    source="Sampledata.zip:./apache*" | top 10 product_id

    获取最多访问的10个产品id 

    source="Sampledata.zip:./apache*" | top  limit=1 clientip

    获取消费最多的客户端ip

    source="Sampledata.zip:./apache*"  action=purchase clientip=233.77.49.50|stats count, values(product_id) by clientip

    获取指定客户端IP购买的产品,并汇总数量

    source="Sampledata.zip:./apache*" category_id = flowers| statsdc(clientip)

    统计有多少用户购买了鲜花类的产品

  source="Sampledata.zip:./apache*" category_id=flowers| stats count BY clientip

    每个独立用户购买鲜花的数量

    source="Sampledata.zip:./apache*" category_id=flowers| stats count AS "购买鲜花数量" BY clientip |rename clientip AS 客户 

  我们可以对结果进行重命名

子搜索

    子搜索部分使用[]起来,中括号的部分会先被执行,然后再执行外面搜索部分。

    子搜索命令需用search开头

    子搜索的速度稍微慢一些

    source="Sampledata.zip:./apache*" action=purchase [search sourcetype=access_* action=purchase|top limit=1 clientip|table clientip] | stats count, values(product_id) as product_id by clientip |rename count AS "购买数量",product_id AS "购买产品内容" clientip AS "vip用户"

    一条搜索语句实现,获取指定客户端IP购买的产品,并汇总数量  

      如果你对搜索命令比较敢兴趣,你也可以参考文档

      @see http://docs.splunk.com/Documentation/Splunk/latest/SearchReference/SearchCheatsheet   

      当然,还有搜索语法和SQL语句命令对照表

    http://docs.splunk.com/Documentation/Splunk/latest/SearchReference/SearchCheatsheet 

转载于:https://my.oschina.net/jccpp/blog/157171

weixin_34112208
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
splunk spl语法笔记
QYHuiiQ
08-31 5726
#重命名a为b | rename a as b #日期格式化并计算 | eval t1=strptime(time1,"%Y-%m-%dT%H:%M:%S.%3N%z"),t2=strptime(time2,"%Y-%m-%dT%H:%M:%S.%3N%z") | eval duration=t2-t1 #变量值为0时显示的是变量名,需要如下判断(表示如果b+c等于0,那么结果就是0,否则就等于b+c的值) | eval myvalue=if((b+c)=0,0,b+c) #保留两位小.
splunk搜索参考(中文)
09-01
本手册是“搜索处理语言”(SPL) 的参考指导。搜索参考包含带有完整语法、描述和示例的搜索命令目录。此外,本手册还包含有关命令类别的快速参考信息,可与命令一起使用的函数,以及 SPL 与 SQL 之间的关系。
Splunk的基本使用心得
热门推荐
ssegrub的博客
08-27 1万+
Splunk的一些基本使用心得
SPL学习笔记1-基本语法+数据类型
最新发布
qq_39418238的博客
07-14 200
在SPL编程中,基本语法跟其他编程语言的基本语法大体一致,主要包括条件判断、循环结构、变量、赋值、函数这些语法。其次我们还需要掌握这门编程语言的数据类型。以上就是赋值+条件判断的来控制代码的运行顺序。浮点数:有小数点数;整数:没有小数点的数。其中整数可以换成浮点数,例如float(A4),但整数不一定能够为浮点数。SPL的数据类型分为了浮点数、整数、长整数、字符串、日期时间等。上面就是通过循环语法控制某一段代码的执行,来达到实现的效果。在学习编程,我们首先要学习编程的基本语法+数据类型。
splunk篇3-spl
qq_27886773的博客
01-18 3153
splunk搜索栏中编辑spl搜索语句,即可检索出已经配置的数据源内容,右边时间栏是选择数据源的变动时间来检索 以上篇的http为例,当我的数据发送到splunk后,输出source="http:httptest" ,其中httptest是我建的http event collector的标记,忘记的可以翻上篇。左侧框中的是字段,字段就是昨天发送数据的body里面的json内容。字段可以...
splunk 学习笔记之二[搜索语法]
weixin_30598225的博客
08-01 1208
splunk 搜索语法 全文搜索 搜索框直接输入”搜索词“   purchase 查找匹配词”purchase“ 字段搜索 字段名=”搜索词“ source="Sampledata.zip:./apache3.splunk.com/access_combined.log" 查找数据来源为"Sampledata.zip...
(持续更新)实践splunk PSL 语句
shenghuiping2001的专栏
10-11 233
1: 如果hostname match 就输出: result: Yes正确: source="/x/logs/index/pp/security/aqua/2021/10/08/*.log" | eval result=if(match("sb01", host), "正确","No") |table host result 2: 设置如果host 是sb01, 就是VM 机器,其他的就是容器: source="/x/logs/index/pp/security/aqua/2021/10/*"
splunk - splunk搜索参考(对比SQL语法
05-13
splunk搜索语法参考,截取部分与SQL对比的语法
splunk语法
09-08
Splunk 是一款强大的日志管理和分析工具,它的搜索语法是其核心功能之一,允许用户高效地探索、理解和可视化大量数据。以下是对Splunk语法的详细解释: 1. **全文搜索**: - 用户可以直接在搜索框输入关键词进行...
Splunk中文搜索手册6.5.0.pdf
09-09
搜索语法是基础,包括命令类型,如使用 Splunk Web 进行搜索、使用 CLI 或 REST API 进行搜索搜索语法涉及到事件检索,如从索引中检索特定事件,以及如何根据时间范围进行搜索。此外,还详细解释了字段的使用,...
highlightjs-spl:Splunk搜索处理语言(SPL)的highlight.js语法定义
04-04
Splunk搜索处理语言的用法只需在网页或Node应用程序中包含highlight.js库,然后加载此模块即可。静态网站或简单用法在加载highlight.js之后,只需加载模块即可。 您将使用在dist目录中找到的缩小版本。 该模块只是...
Splunk常用命令
weixin_34205076的博客
07-22 1387
重启/查看状态/停止splunk [root@localhost splunk]# /opt/splunk/bin/splunk restart / status / stop  
Splunk SPL操作
qq_45800977的博客
08-29 437
action=purchase | chart count by host | chart avg(count) as "每台服务器平均数““productlist” by clientip | rename clientip as “VIP客户”,count as “产。• sort - clientip, +status, 先基于 clientip 降序,再基于status升序。品总数”,totalproducts as “产品种类”,productlist as “产品列表”
splunk成html语法,Splunk Dashboard 语法
weixin_34768019的博客
07-16 261
Splunk Dashboard 数据展示,DemoSplunk 搜索 相关SPL 语法子查询,结果集格式化去重时间格式化分页相关设置查询分解source=demo_pardot_prospect_visit # 数据源来源[ # 子查询search source...
常用的Splunk命令
qq_45800977的博客
08-29 409
索引默认位置:/opt/splunk/var/lib/splunk。关闭/开启splunk服务。修改后需要重启splunk。可以通过配置文件进行修改。查看是否处于开机自启状态。状态、启动、停止、重启。修改后重启splunk
Splunk大数据分析经验分享:从入门到夺门而逃
weixin_33701564的博客
04-25 3580
2019独角兽企业重金招聘Python工程师标准>>> ...
在大数据场景下借鉴Splunk SPL的提供通用的数据分析手段
ffjl1985的专栏
06-10 3131
Splunk是什么Splunk 是机器数据的引擎。使用 Splunk 可收集、索引和利用所有应用程序、服务器和设备生成的快速移动型计算机数据 。 使用 Splunking 处理计算机数据,可让您在几分钟内解决问题和调查安全事件。监视端到端基础结构,避免服务性能降低或中断。以较低成本满足合规性要求。关联并分析跨越多个系统的复杂事件。Splunk SPL搜索处理语言SPL是Splunk Search ...
Splunk系列:Splunk搜索分析篇(四)
03-18 5886
一、简单概述Splunk 平台的核心就是 SPL,即 Splunk 搜索处理语言。它提供了非常强大的能力,通过简单的SPL语句就可以实现对安全分析场景的描述。这里,我们以Linux sec...
mysql splunk_SPLUNK 安装配置及常用语法
weixin_42300424的博客
02-07 343
一)安装配置环境:CentOS 6.2开始安装: 首先关闭selinux:#vi /etc/sysconfig/selinuxSELINUX=disabledsetenforce 0将之前官网下载好的压缩包进行解压,并安装。#tar -zxvf splunk-6.0.1-189883-Linux-x86_64.tgz#cd ..#mv splunk /usr/local#cd /usr/loc...
splunk查询语法
11-22
Splunk是一款用于实时监控、搜索、分析和可视化大规模机器数据的软件。它提供了强大的查询语法,可以帮助用户快速定位和分析数据。以下是一些常用的Splunk查询语法示例: 1. 基本搜索:使用关键字`search`,后跟要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值