splunk 提取字段_splunk 学习笔记之三[使用字段查找对照]

最新推荐文章于 2024-10-12 18:07:08 发布
最新推荐文章于 2024-10-12 18:07:08 发布
阅读量665 收藏 1
点赞数
文章标签: splunk 提取字段
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39606396/article/details/111862300
版权
本文介绍了如何使用Splunk的字段查找对照功能,通过导入和定义CSV文件来扩展日志中的产品ID信息,获取产品名称和价格等详细内容。通过实例展示了配置查找表、设置自动查询以及在搜索中应用的过程。
摘要由CSDN通过智能技术生成

使用字段查找对照(field lookup)

字段查找对照的意思是我们可以通过去查找Splunk所导入数据之外的csv文件来把数据包含的字段信息进行扩展,从而获得更多的内容

例如,在上面的例子中,product_id的内容对我们来说并不直观,我们并不知道这些产品代码具体是什么? 这些信息并不存在于日志中

但是我们可以通过外部查找的方式获得。

我们先从官网下载一个product_lookup.csv.zip文件.下载并解压缩

进入对照表管理

在splunk页面右上角点击"管理", 在管理页面选择"查找"

点击"查找",进入对照表管理页面

上传对照表文件

在"查找表文件"一行点击新增,选择要上传的"product_lookup.csv,在"目标文件名称中"也填入product_lookup_csv,保存完成即可

查找表定义

在"查找表定义"一行选择新增,按照下图进行定义:

设置自动查询

在"自动查找"一行选择新增,按照下图进行定义

完成上述查找定义后,返回search应用,搜索sourcetype = access_*,编辑选择的字段,这时我们可以看到会增加produ

最低0.47元/天 解锁文章
Eval 在Splunk 中的实际用途
shenghuiping2001的专栏
12-04 867
Eval 发挥很大的作用,特别是算术运算,举个例子:把名字 合并:| eval full_name = first_name+" "+last_name
Splunk lookup 实践
shenghuiping2001的专栏
02-20 544
splunk lookup 对数据不是经常变化,可以进行快速便捷查询。
Sampledata-splunk.zip
08-04
Sampledata,splunk,测试使用的数据,便于分析,学习
【入门第3课】Splunk字段提取
最新发布
rm -rf /*
10-12 540
Splunk 是一款功能强大的搜索和分析引擎,而字段splunk搜索的基础,提取出有效的字段就很重要。当Spklunk开始执行搜索时,会查找数据中的字段。与预定义提取指定字段不同,Splunk可以通过用户自定义从原始数据中动态提取字段
splunk学习笔记——lookup table
Cwiky_1993的博客
05-24 6224
1.需求查找近一个月内没有使用过邮箱的用户2.准备 邮件日志:mail-iislog 所有用户的邮箱地址文件mail.csv(必须是csv格式) 3.具体操作通过查询官方文档《Search Reference》,inputlookup命令可以满足需求。 目的:查找在mail.csv中出现,但在mail-iislog中没有出现的用户名 实现: a. 导入mail.csv到splunk中作为查找
SPLUNK 简单查询语句| lookup使用
weixin_42215229的博客
09-11 7643
Here is offical document: http://docs.splunk.com/Documentation/SplunkCloud/7.0.2/Search/GetstartedwithSearch | inputlookup all_w  | search slavename="MAC-BUILD-GIT*" | join type=outer slavename     [...
Splunk架构学习笔记
u010979584的博客
02-06 5147
splunk
splunk spl语法笔记
QYHuiiQ
08-31 5941
#重命名a为b | rename a as b #日期格式化并计算 | eval t1=strptime(time1,"%Y-%m-%dT%H:%M:%S.%3N%z"),t2=strptime(time2,"%Y-%m-%dT%H:%M:%S.%3N%z") | eval duration=t2-t1 #变量值为0时显示的是变量名,需要如下判断(表示如果b+c等于0,那么结果就是0,否则就等于b+c的值) | eval myvalue=if((b+c)=0,0,b+c) #保留两位小.
splunk 学习笔记之二[搜索语法]
weixin_30598225的博客
08-01 1265
splunk 搜索语法 全文搜索 搜索框直接输入”搜索词“   purchase 查找匹配词”purchase“ 字段搜索 字段名=”搜索词“ source="Sampledata.zip:./apache3.splunk.com/access_combined.log" 查找数据来源为"Sampledata.zip...
Splunk大数据分析经验分享:从入门到夺门而逃
weixin_33701564的博客
04-25 3714
2019独角兽企业重金招聘Python工程师标准>>> ...
splunk学习
冰的城
02-16 1万+
摘要:如果管理着几百台机器,一天老板问:今天哪台机器宕机了?影响了多少个用户订单请求?是谁的代码?可能你需要使用splunk了。 1 SPLUNK简介 1.1      什么是splunk Splunk is software that indexes IT data from any application, server or network device that make
lookup-editor:一个用于编辑查找文件的Splunk应用程序
05-22
Splunk查找编辑器 该应用程序提供了用于在Splunk中编辑查找文件的用户界面。 如果需要帮助,请转到 。 该应用程序的正式版本将在上。
splunk搜索手册(中文)
09-01
splunk搜索手册(中文): 该手册介绍 Splunk 搜索以及如何使用 Splunk 搜索处理语言。 如果您之前未使用Splunk Enterprise 和搜索,可以从“搜索教程”开始。搜索教程介绍搜索和报表应用,逐步指导您 添加数据、搜索数据、构建简单报表和仪表板。
Splunk查询官方教程_中文
09-02
包含Splunk的官方教程,适用于一般以及高级使用者。全方位解析查询使用
Splunk中判断某字段包含某个字符串
QYHuiiQ
04-02 1571
在实际业务中有时我们会用到对某个字符串或字段是否包含某个特定的关键字或字符串来进行不同的逻辑处理,在Splunk中我们使用like函数实现这一判断: | eval row_log="03/29/2022 14:34:25 INFO The host finished uploading file." | eval state=if((like(row_log, "%finished%") AND like(row_log, "%INFO%")), "Completed", "Failed") #这里使
日志分析与splunk浅谈
dfdhxb995397的博客
08-29 382
难易程度:★★★ 阅读点:linux;python;web安全;日志分析; 文章作者:xiaoye 文章来源:i春秋 关键字:网络渗透技术 前言 linux下的日志分析对企业来说非常重要,对我们分析pv或者入侵事件溯源都有很大的价值,今天来简单谈一谈日志分析方向的利器splunksplunk应该是站在日志分析应用的顶端了,应用广泛功能强大,本文只能简单说说其安装以及应...
Splunk的基本使用心得
热门推荐
ssegrub的博客
08-27 1万+
Splunk的一些基本使用心得
splunk-kvstore
KK_DU
11-05 815
第一步:配置文件:(注意此处我把它配置在search文件下的default,配置在local里的权限大一点,但是我的配置在local里不行,所以配置在default下。) collections.conf里的内容: 1处的内容是定义自己需要的字段 2处内容是加速用的 第二步在splunk里增加lookup,直接上图啦 保存之后可以查看一下 ...
【重要】Splunk 的 Lookup Table能否被覆盖呢?
shenghuiping2001的专栏
11-26 1203
【重要】Splunk 的 Lookup Table能否被覆盖呢?看看参数是怎么设定的呢!
官方pytest_splunk_addon_ui_smartx库文件安装指南
资源摘要信息:"Python库 | pytest_splunk_addon_ui_smartx-2.0.7-py3-none-any.whl" 本资源是一个Python库,具体为pytest_splunk_addon_ui_smartx的版本2.0.7,这是一个专用于Python语言开发的软件包。根据描述,这...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值
>