1. Toy模板网首页
  2. > Toy博客

Splunk搜索命令操作

7月前 作者:sdguy_nobody 分类:Toy博客 阅读(22) 违法举报

这篇具有很好参考价值的文章主要介绍了Splunk搜索命令操作。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

head、tail、top、rare
  • head:返回前 n 个结果
  • tail:返回后 n 个结果
  • top, 显示字段最常见/出现次数最多的值
  • rare, 显示字段出现次数最少的值
sort:

• 基于某个字段排序(升序、降序)
• sort - clientip, +status, 先基于 clientip 降序,再基于status升序
• index=tutorialdata sourcetype=“access_combined_wcookie”| table
_time,clientip,status | sort -status,+clientip

stats(statistic):

• 对满足条件的事件进行统计
• stats count()
• stats dc()
• stats values()
• stats list()
• stats avg()
• index=tutorialdata sourcetype=“access_combined_wcookie” status=200
action=purchase | stats count
• index=tutorialdata sourcetype=“access_combined_wcookie” status=200
action=purchase | stats count(clientip)
• index=tutorialdata sourcetype=“access_combined_wcookie” status=200
action=purchase | stats dc(clientip)

chart

• 以表格的形式返回结果数据
• index=tutorialdata sourcetype=“access_combined_wcookie” status=200
action=purchase | chart count by host | rename host as 服务器 count as "成功购
买数“
• index=tutorialdata sourcetype=“access_combined_wcookie” status=200
action=purchase | chart count by host | chart avg(count) as "每台服务器平均数“
• index=tutorialdata sourcetype=“access_combined_wcookie” status=200
action=purchase | chart count by host | chart max(count) as "最大购买量“
• 表格
• 图表

timechart

• 使用相应的统计信息表创建时间系列图表。
• index=tutorialdata sourcetype=“access_combined_wcookie”
status=200 action=purchase | timechart count by host
间隔时间2h:
• index=tutorialdata sourcetype=“access_combined_wcookie”
status=200 action=purchase | timechart span=2h count by host
• 线形图
• 面积图

子搜索(subsearch)

• 子搜索包含在方括号[]中
• 查找购物次数最多的用户IP
index=tutorialdata sourcetype=“access_combined_wcookie” status=200 action=purchase |
top limit=1 clientip
• 查看该客户购买的产品数量、产品种类以及哪些产品
index=tutorialdata sourcetype=“access_combined_wcookie” status=200 action=purchase
clientip=“87.194.216.51”| stats count,dc(productId),values(productId) by clientip
• 通过子查询将两个查询语句合并为一个
index=tutorialdata sourcetype=“access_combined_wcookie” status=200 action=purchase
[search index=tutorialdata sourcetype=“access_combined_wcookie” status=200
action=purchase | top limit=1 clientip
| table clientip] | stats count,dc(productId),values(productId) by clientip

保存为仪表板并打印PDF

• index=tutorialdata sourcetype=“access_combined_wcookie”
status=200 action=purchase [search index=tutorialdata
sourcetype=“access_combined_wcookie” status=200
action=purchase | top limit=1 clientip | table clientip] | stats
count,dc(productId) as “totalproducts”,values(productId) as
“productlist” by clientip | rename clientip as “VIP客户”,count as “产
品总数”,totalproducts as “产品种类”,productlist as “产品列表”文章来源地址https://www.toymoban.com/news/detail-681450.html

到了这里,关于Splunk搜索命令操作的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

分享到:
领支付宝红包 赞助服务器费用

相关文章

  • Splunk Connect for Kafka – Connecting Apache Kafka with Splunk

    1: 背景: 1: splunk 有时要去拉取kafka 上的数据: 下面要用的有用的插件:Splunk Connect for Kafka 先说一下这个Splunk connect for kafka 是什么: Spunk Connect for Kafka is a “sink connector” built on the Kafka Connect framework for exporting data from Kafka topics into Splunk. With a focus on speed and reliability, include

    2024年02月05日
    浏览(29)
  • Splunk Attack Range:一款针对Splunk安全的模拟测试环境创建工具

    Splunk Attack Range:一款针对Splunk安全的模拟测试环境创建工具

    Splunk Attack Range是一款针对Splunk安全的模拟测试环境创建工具,该工具完全开源,目前由Splunk威胁研究团队负责维护。 该工具能够帮助广大研究人员构建模拟攻击测试所用的本地或云端环境,并将数据转发至Splunk实例中。除此之外,该工具还可以用来开发和测试安全检测机制

    2024年04月26日
    浏览(36)

  • 未来场景下的大数据空间分析综述Big data spatial analysis in the future

    作者:禅与计算机程序设计艺术 随着互联网技术的飞速发展,以及各行各业对大数据的需求,基于地理位置信息的大数据越来越受到重视。大数据空间分析领域也逐渐成熟起来。 随着人们生活水平的不断提升,城市规划、城镇建设、交通运输、信息化、电子商务、旅游产业

    2024年02月08日
    浏览(45)

  • 安全运营 -- splunk api接口调用

    有些重复性的查询,人工查询耗时,于是想到用脚本自动化填充查询参数,并且通过python调用splunk api。 Basic concepts about the Splunk platform REST API - Splunk Documentation

    2024年02月16日
    浏览(30)

  • 安全运维 -- splunk 集群配置归档

    splunk 集群索引服务器容量满了以后,为了防止数据丢失,需要对旧数据进行归档保存。 指定一台大容量服务器,创建共享文件夹,并将集群里的所有indexer指向这个归档共享目录。 集群的每个indexer都有一个用户用于启动splunk服务,一般命名为splunk,uid一般是固定的,例如1

    2024年02月15日
    浏览(18)
  • 大数据:HDFS操作的客户端big data tools和NFS

    大数据:HDFS操作的客户端big data tools和NFS

    2022找工作是学历、能力和运气的超强结合体,遇到寒冬,大厂不招人,可能很多算法学生都得去找开发,测开 测开的话,你就得学数据库,sql,oracle,尤其sql要学,当然,像很多金融企业、安全机构啥的,他们必须要用oracle数据库 这oracle比sql安全,强大多了,所以你需要学

    2024年02月09日
    浏览(40)

  • 【已解决】Splunk 8.2.X 升级ES 后红色报警

    1: 背景:   由于splunk ES 占有很大的computing resource, 所以,Splunk ES 升级到7.1.1 后,有红色的alert. 2: 解决方法:   降低iowait 的 threshold: Investigation The default threshold setting for IOWait is pre-set to a low value and may not be relevant to the specific environment/performance.  For new installations or upgrades,

    2024年02月09日
    浏览(25)
  • Splunk Enterprise v9.1.0 for Win & Linux & macOS

    Splunk Enterprise v9.1.0 for Win & Linux & macOS

    Splunk has the capability to learn what is actually going on in the user small businesses and also to take a purposeful action in a quick manner what are user and developer.    It has the capability to turn a simple information into answers along with an automatic machine learning powered analytic process easily and flexibly.  It permits the user and de

    2024年02月12日
    浏览(36)
  • BIG DATA —— 大数据时代

    BIG DATA —— 大数据时代

    [英] 维克托 · 迈尔 — 舍恩伯格     肯尼斯 · 库克耶 ◎ 著  盛杨燕     周涛◎译 《大数据时代》是国外大数据研究的先河之作,本书作者维克托·迈尔·舍恩伯格被誉为“大数据商业应用第一人”,他在书中前瞻性地指出,大数据带来的信息风暴正在变革我们的生活、工

    2024年02月22日
    浏览(39)
  • IDEA 中使用 Big Data Tools 连接大数据组件

    IDEA 中使用 Big Data Tools 连接大数据组件

    简介 Big Data Tools 插件可用于 Intellij Idea 2019.2 及以后的版本。它提供了使用 Zeppelin,AWS S3,Spark,Google Cloud Storage,Minio,Linode,数字开放空间,Microsoft Azure 和 Hadoop 分布式文件系统(HDFS)来监视和处理数据的特定功能。 下面来看一下 Big Data Tools 的安装和使用,主要会配置

    2023年04月08日
    浏览(49)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包