Splunk_命令教学.ppt

SYSTEX Group, SPLUNK Corp 2009 Splunk Search 命令教学-天龙八步 版本:v 1.00 精诚中国资讯中心 搜尋命令教學 Search Tech 1.基本命令語法 Search Syntax 2.複式搜尋方式 Search Pipeline Syntax 3.子搜尋方式 Sub Search 4. 加总搜寻 Summary Index/Search 5. 自定义栏位搜寻 Search Cheatsheet 6. 自定义日志格式及类型 Source type setting 基本命令語法 Search Syntax 用途说明 范例 范例解释 单一字眼搜寻 “error” 代表查询所有 包含 error 字眼,大小写不影响查询结果 多字眼查询 “apache error 449 “ 代表 “apache” and “error” and “449” 模糊查询 * Source=*.log 要查询某 Source= xx.log, 所有Log, 可以使用 *.log (可能他原本区隔by日) 符号说明 :!?% $ / \ [ ] { } @ = + 左边符号可以使用,但是搜寻会自动转为ASCII符号编码 布林代数(Boolean ) OR , AND, NOT NOT ( A OR B) 注意,大写 比较语法 等於 =, 不等於 !=, 大於 , 小於 /base/Documentation/latest/User/SearchSyntax 複式搜尋方式 Search Pipeline Syntax search?::=?data_generation_command?[?search_pipeline?] data_generation_command?::=?search_command?|?remote_command?|?savedsearch_command?|?run_command search_pipeline?::= | [command] [?search_pipeline?] search_command?::= search [search_argument]+ search_argument?::= [keywords] [field=value] [modifier=value] [search_command] subsearch?::= search_command [ search ] remote_command?::= remote [server,...,server] | [server ... server] [search_pipeline] savedsearch_command::= savedsearch [name of saved search] run_command?::= run [run argument] 一般搜寻条件 = data_generation_command? /base/Documentation/latest/User/SearchPipelineSyntax 子搜寻方式 Sub Search search_command?::= search?search_argument search_argument?::= keyword | field=value | modifier=value |?subsearch subsearch?::=?search_command?[ [?search?] ] /base/Documentation/latest/User/SearchPipelineSyntax Example: sourcetype=access_combined [search sourcetype=access_combined | stats count by client_ip | search count10 | fields +client_ip] 加总搜寻 Summary Index/Search Reference Alex Email 舉個簡單的Summary Index (SI) 例子. 客戶公司平均一天的瀏覽量是5萬個requests. 客戶要求計算一個月瀏覽公司的來源IP次數, 如果是普通不用SI的搜尋方式是: sourcetype=”apache” startdaysago=30 | stats count(src_ip) 搜尋時間較長, 且有maxresult的限制. 這時可以用SI將每個小時(或每天)的瀏覽公司個各web server的來源IP數先做一個統計存入summary index. 等到需要做月統計時, 只需加總su