搜索册SplunkEnterprise6.5.pdf

Splunk? Enterprise 6.5.0 搜索?册 ?成时间：2016 年 9 ? 26 ?，下午 10:26 Copyright (c) 2017 Splunk Inc. All Rights Reserved Table of Contents 搜索概述 搜索?门 导航 Splunk Web 关于搜索语? 搜索类型 命令类型 使? Splunk Web、CLI 或 REST API 搜索 使? Splunk 搜索 关于搜索应? 搜索剖析 协助构建搜索 协助搜索的阅读 搜索操作 搜索模式 搜索历史 优化搜索 优化的快速提? 编写更好的搜索 检索事件 关于检索事件 搜索命令?门 使?字段检索事件 事件?例 从索引中检索事件 在?个或多个分布式搜索节点中搜索 分类和分组类似事件 使?时间线调查事件 对事件详细信息进?钻取搜索 通过“模式”选型卡识别事件模式 预览事件 指定时间范围 关于涉及时间的搜索 选择要应?于搜索的时间范围 在搜索中指定时间调节器 在搜索中指定实时时间范围窗? 使?时间查找附近事件 ?搜索 关于?搜索 使??搜索关联事件 更改?搜索结果的格式 创建统计性表格和图表可视化。 5 5 6 8 8 9 10 11 11 14 16 20 23 24 25 26 26 26 28 28 29 32 33 35 36 36 38 39 44 47 48 48 48 52 54 55 55 55 57 57 58 有关转换命令和搜索 创建基于时间的图表 创建不（?定）基于时间的图表 直观显??低字段值 创建?于显?摘要统计信息的报表 在搜索结果中查找关联、统计相关性和差异 构建多数据系列图表 ?较多天中每?时的总和 表格中的?或单元格信息运?辅助搜索 在数据透视表中打开?转换搜索以创建表格和图表 实时搜索和报表 关于实时搜索和报表 Splunk Web 中的实时搜索和报表 CLI 中的实时搜索和报表 实时搜索和报表的预期性能和已知限制 如何限制实时搜索的使?情况 评估和操作字段 关于评估和操作字段 使? eval 命令和函数 使?查找从查找表中添加字段 使?搜索命令提取字段 操作和评估多值字段 计算统计信息 关于计算统计信息 使? stats 命令和函数 将 stats 与 eval 表达式和函数配合使? 将迷你图添加到搜索结果 ?级统计 关于?级统计 ?级统计命令 关于异常检测 查找和移除离群值 检测异常 检测模式 关于时间系列预测 机器学习 事件分组和相关性 关于事件分组和相关性 使?时间确定事件之间的关系 关于交易 确定事件并将其分组为交易 管理任务 关于任务和任务管理 延?任务的?存期 共享任务和导出结果 管理搜索任务 58 59 59 59 60 61 61 62 62 67 68 68 70 70 71 71 72 72 73 74 74 75 76 76 76 78 78 80 80 81 82 82 85 85 86 87 87 87 88 88 89 91 91 93 94 96 查看搜索任务属性 Dispatch ?录和搜索项? 限制搜索进程内存使?率 从操作系统管理任务 导出搜索结果 导出搜索结果 使? Splunk Web 导出数据 使? CLI 导出数据 使? Splunk Enterprise REST API 导出数据 使? Splunk SDK 导出数据 使?转储命令导出数据 转发数据到第三?系统 编写?定义搜索命令 关于编写?定义搜索命令 编写?定义搜索命令 为?定义搜索命令选择位置 将?定义命令添加到 Splunk 部署 控制?定义命令和脚本的访问权限 ?定义搜索命令?例 ?定义命令的安全责任 搜索?例和?查 本部分包含哪些内容？ 添加注释到搜索 监视和告警 Windows 磁盘使?情况 计算动态字段的?? 100 104 107 108 109 109 110 111 111 112 114 115 115 115 115 117 120 122 123 124 125 125 125 126 126 搜索概述 搜索?门 该?册介绍搜索和报表应? 以及如何使? Splunk 搜索处理语? (SPL)。 搜索和报表应?简称为搜索应?，是您在 Splunk 部署中导航数据的主要?式。搜索应?由?个基于?络的界? (Splunk Web)、?个命令?界? (CLI) 和 Splunk SPL 组成。 从这?开始 如果您之前未使?过 Splunk 搜索，了解相关信息的最佳?式是从搜索教程开始。搜索教程介绍了搜索和报表应?， 并逐步指导您添加数据、搜索数据及构建简单报表和仪表板。 搜索教程是了解 Splunk 搜索的绝佳基础。 在??的环境中进??门学习 在完成搜索教程的学习后，您应该