Учебники

Splunk – Язык поиска

Язык обработки поиска Splunk (SPL) – это язык, содержащий множество команд, функций, аргументов и т. Д., Которые написаны для получения желаемых результатов из наборов данных. Например, когда вы получаете набор результатов для поискового запроса, вы можете дополнительно отфильтровать некоторые более конкретные условия из набора результатов. Для этого вам нужно добавить несколько дополнительных команд в существующую команду. Это достигается путем изучения использования SPL.

Компоненты SPL

SPL имеет следующие компоненты.

  • Условия поиска – это ключевые слова или фразы, которые вы ищете.

  • Команды – действие, которое вы хотите выполнить с результирующим набором, например, отформатировать результат или сосчитать их.

  • Функции – Какие расчеты вы собираетесь применить к результатам. Как сумма, средняя и т. Д.

  • Предложения – Как сгруппировать или переименовать поля в наборе результатов.

Условия поиска – это ключевые слова или фразы, которые вы ищете.

Команды – действие, которое вы хотите выполнить с результирующим набором, например, отформатировать результат или сосчитать их.

Функции – Какие расчеты вы собираетесь применить к результатам. Как сумма, средняя и т. Д.

Предложения – Как сгруппировать или переименовать поля в наборе результатов.

Давайте обсудим все компоненты с помощью изображений в следующем разделе –

Условия поиска

Это термины, которые вы упоминаете в строке поиска, чтобы получить конкретные записи из набора данных, которые соответствуют критериям поиска. В приведенном ниже примере мы ищем записи, которые содержат два выделенных термина.

Spl_1

команды

Вы можете использовать множество встроенных команд, предоставляемых SPL, чтобы упростить процесс анализа данных в наборе результатов. В приведенном ниже примере мы используем команду head, чтобы отфильтровать только первые 3 результата из операции поиска.

Spl_2

функции

Наряду с командами Splunk также предоставляет множество встроенных функций, которые могут принимать входные данные из анализируемого поля и выдавать выходные данные после применения вычислений к этому полю. В приведенном ниже примере мы используем функцию Stats avg (), которая вычисляет среднее значение числового поля, принимаемого в качестве входных данных.

Spl_3

Статьи

Когда мы хотим получить результаты, сгруппированные по какому-то конкретному полю, или мы хотим переименовать поле в выводе, мы используем предложение group by и предложение as соответственно. В приведенном ниже примере мы получаем средний размер байтов каждого файла, присутствующего в журнале web_application . Как видите, результат показывает имя каждого файла, а также средние байты для каждого файла.