- Splunk 教程
- Splunk - 首頁
- Splunk - 概述
- Splunk - 環境
- Splunk - 介面
- Splunk - 資料攝取
- Splunk - 資料來源型別
- Splunk - 基本搜尋
- Splunk - 欄位搜尋
- Splunk - 時間範圍搜尋
- Splunk - 共享和匯出
- Splunk - 搜尋語言
- Splunk - 搜尋最佳化
- Splunk - 資料轉換命令
- Splunk - 報表
- Splunk - 儀表盤
- Splunk - 資料透視和資料集
- Splunk - 查詢表
- Splunk - 計劃和告警
- Splunk - 知識管理
- Splunk - 子搜尋
- Splunk - 搜尋宏
- Splunk - 事件型別
- Splunk - 基本圖表
- Splunk - 疊加圖表
- Splunk - Sparklines(迷你圖)
- Splunk - 管理索引
- Splunk - 計算欄位
- Splunk - 標籤
- Splunk - 應用
- Splunk - 刪除資料
- Splunk - 自定義圖表
- Splunk - 檔案監控
- Splunk - 排序命令
- Splunk - top 命令
- Splunk - stats 命令
- Splunk 有用資源
- Splunk - 快速指南
- Splunk - 有用資源
- Splunk - 討論
Splunk - 搜尋語言
Splunk 搜尋處理語言 (SPL) 是一種包含許多命令、函式、引數等的語言,用於從資料集中獲取所需結果。例如,當您獲取搜尋詞的結果集時,您可能希望進一步從結果集中篩選一些更具體的詞語。為此,您需要將一些額外的命令新增到現有命令中。透過學習 SPL 的用法可以實現這一點。
SPL 的組成部分
SPL 包含以下元件。
搜尋詞 - 這些是您要查詢的關鍵詞或短語。
命令 - 您希望對結果集執行的操作,例如格式化結果或計數。
函式 - 您將對結果應用哪些計算。例如求和、平均值等。
子句 - 如何對結果集中的欄位進行分組或重新命名。
讓我們在下面部分藉助影像來討論所有元件 -
搜尋詞
這些是您在搜尋欄中提到的詞語,用於從滿足搜尋條件的資料集中獲取特定記錄。在下面的示例中,我們正在搜尋包含兩個突出顯示的詞語的記錄。
命令
您可以使用 SPL 提供的許多內建命令來簡化分析結果集中資料的過程。在下面的示例中,我們使用 head 命令從搜尋操作中篩選出前 3 個結果。
函式
除了命令之外,Splunk 還提供了許多內建函式,這些函式可以接收正在分析的欄位作為輸入,並在對該欄位應用計算後給出輸出。在下面的示例中,我們使用Stats avg()函式,該函式計算作為輸入的數字欄位的平均值。
子句
當我們希望按某個特定欄位對結果進行分組,或者希望重新命名輸出中的某個欄位時,我們分別使用group by子句和as子句。在下面的示例中,我們獲取了web_application日誌中每個檔案存在的平均位元組大小。如您所見,結果顯示了每個檔案的名稱以及每個檔案的平均位元組數。
廣告