实例介绍
【实例简介】
splunk快速入门教程
登录后系统会提小你是否希望修改密码,你可以选择在此时修改密码或者暂时 跳过。 修改密码 您现在已经登录成功 如果您还没有修改密码,我们建议您现在修改您的密码。 新密码 确认新密码 跳过 保存密码 为 Splunk添加数据 本文档使用的样例数据来自一个鲜花礼品在线商店的场景,数据包括有 apache web server日志和 mysql数据厍日志。在真实使川 Splunk的场景中,你可以有多种方 式导入数据,例如读取指定路径文件、监听网络端口或者通过执行脚本输出数据。在 本教程中,我们只是通过上传一个压缩文件的方式来导入数据。 下面我们会首先从 Splunk的网站上下载一个样本数据文件: sampleddata,zip,你 需下载这个文件,不需要解压缩。注意:这个文件是每天更新的,所以你在不同时 间下载到的样本数据里的时问戳是不同的 下载好样木数据后,回到 Splunk的Web界面,在页面右上角选择“管理”。 Administrator|应用。管理告警|任务退出 进入管理页面后,选择“数据导入”,新建一个文件或目录形式的数据导入类型, 跳过 Data preview 数据 数据导入 通过脚本、文件、目录以及网路通讯端口导入资料 转发和接收 配置主机使其得以发送及接收数据。 索引 建立新的索引,及管理索引文件空间 4 Preview data-2 Add data input O Preview data before indexing Lt Leam more Point Splunk at a single tile representative of the data you want to index Note: Spink win only preview the first 1.91 MB of the file Fath to file on the server Browse server On Windows: C- apache apache error log, On Unix: /ariogfoc lag e Skip preview Skip preview arid manually configure your input Cancel Continue 进入灬添加”页面后,在“数据来源”部分选择“上传并索引个文件”,选择事先 下载好的 sampleddata. zip 数据来源 告诉 splunk从何处去得到和如何处理你的数据 指定数据源 O从一个Spnk可访问的文件或目录持续索引数据 上传并索引一个文件 由 Splunk服务器一次性导入一个文件 文件 选择文件) Sampleddata. zip 在“更多设置”中,主机名称选择“路径取自正则表达式”,在“正则表达式”输入 框输入卜面的正则表达式 如果 Splunk是安装在Unix/ Linux系统,输入下面的正则表达式 Sampledata. zip:./([/]+)/ 如果是 Windows操作系统,使用下面的正则表达式 Sampledata. zip:.([/3+)/ 回更多设置 主机名称 设定资料来源主机名称。 设置host 路径取自正则哀达式 设定此来源的主机字段的取得方式。 正则表达式 Sampledata. ZIp:. /([/+y 请在此输A止则表达式 Splunk以此设定指令从日录路径提出主机名称 其他部分我们使用系统默认设置即可,点击“保存”完成数据导入设置。完成后 选择页面右上方的应用→ Search进入 Search应用 Administrator应用管理|告警|任务|退出 Deployment Monitor Getting started Search Home 管理应用 Find more appa Search应用介绍 在 Splunk里面,各种功能模块、内容展现是以“应用”(aps)的方式呈现的, 一个“应用”就是一类内容、资源的集合,例如所定义的字段名称、已保存的报表和搜 索或者是仪表板。 Splunk公司网站的 splunkbase里面已经有很多的apps可以提供用户 下载直接使用, Splunk的用户也可以自己编辑创建自己的apps Search应用是 Splunk系统的一个主要的内置应用,在这个应用的首页是一个数 据摘要仪表板。刚刚我们导入的数据已经在这个仪表板中呈现出来。下面是这个仪表 板的各个部分的说明 splunk Search Administrator应H-告|仁务「讵已 摘术、 Dashboards&ve·捉察与叔表 Search应用导航乐 商要|动作 时问范降 搜索内容输人框 全都时司 所有索数据 索引癸料清羊欲新增引资,加人更多资料 所布被素引的数据面板 索引事数 笔问 64g72 Sat mar1008:07:002012 Sst mar1708:59:342012 据床源仁4 数据奚游面极 Last Update Sanpledota. zi: /apaaho3. splunk. com/accoss combinedlog Sun Nar1821:27:342012 Ganpledata. zi /apach 2. plunk. com/access combinedlog 27705 Sun nar1821:27:36202 Sanpledaa. ziD / apache 1. splunk. com/access conbined og Sun ma18212735202 Sanpleca.a zl : / sul, sp unk. curu'rmysuld log Sun Na182|:27:342012 types(2 2 来派类型面板 主机(24主面板 Count e Laat Update F Count幸 Last jodat幸 cBss com ined cookie Sun Nar132127:332012 apache spunk.co Sun Mar1821:27:542012 Cunn mer132127:342312 Sun Mar 1821: 27: C6 201 3 afachel.opunk.Com Gun Mar 10 21: 27.50 2012 我们点击 Source types里的 access combined cookie来开始个搜索,进入到 搜索结果的展现页面。 splunk> Search Adm Inistrator应用,管里|告警任务|追出 摘荟状态· Dashboards&vews·拔累与推 ●帮叼|荚于 sourcety pe="access_ combined_wEcokie 全部时间 64792笔匹配事件命 匹配事件数量 搜索动作 按时间轴显示洁果数星分布 1一1吁 日月11日 用一3月12日 用二3月13日 周三3月14日 同四3月5日 用五3月18日 Field discovery Is:[用□ 54.792事伫全郃 Ic Hide 国垂导出连项 结果区圾 上一步国2345678910下-步,10 par page clected fields Ecit :59:54]' GEl/f1Nersτcre/ category. screen’ category11= ANUY HIIP/L,⊥"∠e⊥5b bx111a/5, 字没边栏 (X11; U; Linux 16aE; en 18.8.10) Gecko/20970223 Centos/ at-cpachc2. splunk. odata z p. apushc or/access comb rod. log a poduct ld (9) a poduct namc间 12-3-17 2012:23:59:34 storc/images/cat3. gif Http/1.126 source (3) F: //mysto con/flower store/iter IONID-SDSsL12F 3”"Mozi 0(X1l; U; Linux 19)Geck/29878223cant 10-01 el4, centos Firefox/1. 5. 3 663244 sourcetype(1) osteapache2 splunk com shen 7p.apache2 splunk com/access comb ned log sourcetype=access combined cookie 7 interesting fie ds a action(2 F08 5934.00"hTTE: //mystore, splunk con/flower- store/ cart. dp? actic [17/mar/2812: 23: 59: 34]'get /flowerstcre/category. screen?category. i1=candy Http/1. 128e 10567 (A11; U; Linux 1686; en-US; rv: 1.8.0, 10, Gecku/20070223 CentoS/-.5 :1: 148 JSESSLUN⊥U=SU5L⊥F8AUf」”"z111a/5,划 1,14, centos Firefox/1.5,8,16"31871245 Clentip (100 host=apache splunk. com beijrg webserver I souce=Sarp edata. zip. / apac ne3 s plunk. com/access_ combined log sourcety pe=access combined cookie I octonary id-CANDY *说明1:搜索结果的过程中,如果数据量很大,到30秒的时候系统会自动提示是否 暂停搜索还是继续完成搜索,你可以选择继续或者暂停 **说明2:后续的例子中截图的显小数字不见得和你自己搜索结果的数字完全一样, 力外因为样本数据是每天更新的,所以截图里数据的时间戳也会和你自己练习的内 容不一样。 开始数据搜索 在上面的结果中,我们可以继续在搜索框输入额外的搜索条件(搜索时间范围 保持“全部时间”)。例如我们希望查找一下10.2.1.44这个P地址。我们可以在之前的 条件后面用空格分隔一下输入IP地址。在键入搜索内容的时候,你会发现下面会有 些搜索内谷的建议显示出来。这部分是 Splunk的搜索助手,它可以提供匹配你搜索内 容的后续的搜索建议,或者是一个搜索命令的简要帮助。 **搜索结米页面的时间轴也是我们可以用鼠标来点击交互操作的,大家可以自已试看用鼠标单方或者双 击或者选择时间轴的一个段溶来看看不同的搜索结显示效果。另外,时间池国选择也是可以自定义的, 这部分内容比较简单,就不详细说明了 搜索条件你也可以使用鼠标在结果内容区城进行点击的交互操作,被点击的内 谷会被自动增加到搜索框中 Search sourcetype=access ccmbined cookie 10.2 Matching terms Note: Consider usirg CIDR support in the search operator (e.g, host=10.0.0.1716 10.2.1≤4 10.21 10.2.91.30 How to search 10.2.31.31 195 Step 1: Retrieve Events 10,a913 229 The simplest searches ret n events hat match terms you type into the search har 10.2.91.3 230 erms: error login 10.2.91.34 quoted phrases: database errort 10_.91.35 olean operators=n NoI [error DR fail) 10.291.36 102.9137 17 widcard 102.31.36 feld values. status=404 statusi=n04, or status3200 102.313g 1 step 2: Use Search Commands 10.29140 263 Morc advanced scarchos usc commands to transfom, filter, ana rcpcrt on the events A 搜索结束后你可以看到,符合这种全文搜索的条件的匹配结果会被高亮显示出 来 搜索 sour cette= combined cookie"10.2. 1,44 81笔匹配事件 国回[创建 A -ide Q Zoom a Zoom to selection DEselect Linear scale1=小p 用时月11日 二3月13日 三3.314日 IL 17年 Field dis∞ overy is:[月 81事件全部时间 日,d分号出达项 上-步国25456789下-步 a category id 5) L7/ma-/2012: 23: 54: 291get flower store/ product screeniproduct id-fl-lh-b2 Http/1. 1 208 10929 a host (3 z11a/5,a(X11 U; LinUX26出6;enυUS;rv:.s,.23)Lecκ。/223 certo>/5,囝二日日.114. centos tiret0x/1.5,日,”4∠8514 H price ? ourecety po- acess sombined cookie produet 1 -. DLH02 category -FLOvERs price-79 I prod. sct r arree Gardenia Bonsai Plant a product a saurce(3) a surely a (17 emory id- FLOWERS ,vgr e-samplecata zip: apache splunk com/access_combned log 27 interasting fields a action p 4393.000 [17/na-/2E12: 23: 43:001"post /tlCwEr-store order. do HttP/1. Icnid-sd55l1ffradfF3"NOzL1La/5.0(x11; li 每byts(2 Linux 1686: en-US: r/: I 8.0.10) Gecko/200/0223 Centos/1.5.6.10-0.1. el4. centos Firefox/1.5.0. 10"2271 22 Splunk的搜索输入框支持逻辑关系的组合,例如我们在上面搜索条件的基础上 希望看到一些有purchase的字样,而且HTTP状态不是200的事件,我们可以使用下 面的条件来匹配这些数据(后续会涉及到更加准确的搜索方法)。 sourcetype=access combined cookie 10.2.l44 purchase NOT 200 scurtetyp="eCCe>> cumbre wtcukle"18. 2. 1.44 purchase NOT 200 全部时旧 √16笔匹配事件 国国保在剑 o Zoom Io Linear scale -312日 司二3月13日 芦三34日 同阿月15 Field discovery is:[正16事伫全部时间 sHide 三睡A(导出运项 上一步国2下-步10 per pag9g 912: 15: 34: 0a]GET /flower store/cart. do? action-purchase&it 萨pnce u produet id D N prodct rame (9y 的 ckie product d=F|-sW1 ice=B9 ,I Product neme Tea& S)a Git Se. d sURVe②2 [16/Mer /2022, 15. 32. 50]"GET /lower_sture/cart,o?ac 27 interesting fields N rtion (1) if Eles (2y 123-16l 10.2.1 44-.[15/mar/2012: 89: 07: 211get /flswer-store/cart. do? actionapurchasegiten idaest-15 Http/1.1"50315536 Splunk还支持通过键盘按键和鼠标点击的组合方式来改变搜索条件。例如我们 用鼠标放到结果中的503这个数字上,使用alt+点击( Windows中是用ctrl+点击), 你会看到NOT503这个条件被自动增加到搜索条件中,表示我们希望在搜索结果中排 除数字不是503的搜索结果。 scurcetypea'access comb:- ned Kcookle'102 1.44 purchase NOT 200 NOT SD3 全部时间 y1笔匹配事什 CHide Q Zorn eL Zoom o se'ertan Deselect Unear scae =1毫秒 上千1234分17.D秒 上午12时34分1000秒 上+123分70秒 区He 国画dG号出达项 0 PaPAgO 6 selected felds 12314下午10.2,1,44-·[4/Mar/2812:15:34:7'ET r sto-e/ cart. d?asticn-purchaseditem Linux i 8eec61145x111-84329 4 aroduct id(0 jU/apac NC wp uk a product rame (1) I produat_ld-Fl sw o 89 .I produet name=Tea& Spc Gift s 字段搜索 字段是名字值的配对,所有的字段都有一个描述性的名字并且可以被搜索到, 例如 chienti是访问 webserver的客户端IP地址,timc是事件的时间戳,host是服务 器的主机名(或者I地址),等等。通过字段搜索可以让我们更快、更准确的搜索到 所要定位到的内容,而且你可以通过字段对各种搜索结果进行进一步的统计分析、报 表展现,等等更多的分析操作 在木练习中, Splunk可以自动识别 apache日志中的各种字段名称。 Splunk也允 许你很方便的通过正则表达式的方式来定义你所需要抽取的字段内容,详细的字段定 义,详细的解释和操作方法可以参考 Splunk手册中的 Knowledge Manager Manual中这 甲有关字段的部分。 页面左侧的字段边栏里面显小了所有可用的字段信息,卜图中系统默认字段 host、 Source、 sourcetype在搜索结果中显小出来 Field d scovery is: [ Or 9, 277 events yesterday during Tuesday, December 27, 2011) 国田Axot a prev 1 2 3 4 5678 s 10 nex: x 10 cer page 3 sclccted hclds /2011 23:59:34]GEl itlower store/ca egory, screen category- 10=CANDY HIIP/l Noz111a!5,8 d?9 你可以点击Edit链接来增加希望显示的字段名称。例如我们选择把以卜3个字 段添加到可显示的字段列表中,保存后在贞面中可以看到被增加的这三个字段。 action、 category id、 product id 10 【实例截图】
【核心代码】
splunk快速入门教程
登录后系统会提小你是否希望修改密码,你可以选择在此时修改密码或者暂时 跳过。 修改密码 您现在已经登录成功 如果您还没有修改密码,我们建议您现在修改您的密码。 新密码 确认新密码 跳过 保存密码 为 Splunk添加数据 本文档使用的样例数据来自一个鲜花礼品在线商店的场景,数据包括有 apache web server日志和 mysql数据厍日志。在真实使川 Splunk的场景中,你可以有多种方 式导入数据,例如读取指定路径文件、监听网络端口或者通过执行脚本输出数据。在 本教程中,我们只是通过上传一个压缩文件的方式来导入数据。 下面我们会首先从 Splunk的网站上下载一个样本数据文件: sampleddata,zip,你 需下载这个文件,不需要解压缩。注意:这个文件是每天更新的,所以你在不同时 间下载到的样本数据里的时问戳是不同的 下载好样木数据后,回到 Splunk的Web界面,在页面右上角选择“管理”。 Administrator|应用。管理告警|任务退出 进入管理页面后,选择“数据导入”,新建一个文件或目录形式的数据导入类型, 跳过 Data preview 数据 数据导入 通过脚本、文件、目录以及网路通讯端口导入资料 转发和接收 配置主机使其得以发送及接收数据。 索引 建立新的索引,及管理索引文件空间 4 Preview data-2 Add data input O Preview data before indexing Lt Leam more Point Splunk at a single tile representative of the data you want to index Note: Spink win only preview the first 1.91 MB of the file Fath to file on the server Browse server On Windows: C- apache apache error log, On Unix: /ariogfoc lag e Skip preview Skip preview arid manually configure your input Cancel Continue 进入灬添加”页面后,在“数据来源”部分选择“上传并索引个文件”,选择事先 下载好的 sampleddata. zip 数据来源 告诉 splunk从何处去得到和如何处理你的数据 指定数据源 O从一个Spnk可访问的文件或目录持续索引数据 上传并索引一个文件 由 Splunk服务器一次性导入一个文件 文件 选择文件) Sampleddata. zip 在“更多设置”中,主机名称选择“路径取自正则表达式”,在“正则表达式”输入 框输入卜面的正则表达式 如果 Splunk是安装在Unix/ Linux系统,输入下面的正则表达式 Sampledata. zip:./([/]+)/ 如果是 Windows操作系统,使用下面的正则表达式 Sampledata. zip:.([/3+)/ 回更多设置 主机名称 设定资料来源主机名称。 设置host 路径取自正则哀达式 设定此来源的主机字段的取得方式。 正则表达式 Sampledata. ZIp:. /([/+y 请在此输A止则表达式 Splunk以此设定指令从日录路径提出主机名称 其他部分我们使用系统默认设置即可,点击“保存”完成数据导入设置。完成后 选择页面右上方的应用→ Search进入 Search应用 Administrator应用管理|告警|任务|退出 Deployment Monitor Getting started Search Home 管理应用 Find more appa Search应用介绍 在 Splunk里面,各种功能模块、内容展现是以“应用”(aps)的方式呈现的, 一个“应用”就是一类内容、资源的集合,例如所定义的字段名称、已保存的报表和搜 索或者是仪表板。 Splunk公司网站的 splunkbase里面已经有很多的apps可以提供用户 下载直接使用, Splunk的用户也可以自己编辑创建自己的apps Search应用是 Splunk系统的一个主要的内置应用,在这个应用的首页是一个数 据摘要仪表板。刚刚我们导入的数据已经在这个仪表板中呈现出来。下面是这个仪表 板的各个部分的说明 splunk Search Administrator应H-告|仁务「讵已 摘术、 Dashboards&ve·捉察与叔表 Search应用导航乐 商要|动作 时问范降 搜索内容输人框 全都时司 所有索数据 索引癸料清羊欲新增引资,加人更多资料 所布被素引的数据面板 索引事数 笔问 64g72 Sat mar1008:07:002012 Sst mar1708:59:342012 据床源仁4 数据奚游面极 Last Update Sanpledota. zi: /apaaho3. splunk. com/accoss combinedlog Sun Nar1821:27:342012 Ganpledata. zi /apach 2. plunk. com/access combinedlog 27705 Sun nar1821:27:36202 Sanpledaa. ziD / apache 1. splunk. com/access conbined og Sun ma18212735202 Sanpleca.a zl : / sul, sp unk. curu'rmysuld log Sun Na182|:27:342012 types(2 2 来派类型面板 主机(24主面板 Count e Laat Update F Count幸 Last jodat幸 cBss com ined cookie Sun Nar132127:332012 apache spunk.co Sun Mar1821:27:542012 Cunn mer132127:342312 Sun Mar 1821: 27: C6 201 3 afachel.opunk.Com Gun Mar 10 21: 27.50 2012 我们点击 Source types里的 access combined cookie来开始个搜索,进入到 搜索结果的展现页面。 splunk> Search Adm Inistrator应用,管里|告警任务|追出 摘荟状态· Dashboards&vews·拔累与推 ●帮叼|荚于 sourcety pe="access_ combined_wEcokie 全部时间 64792笔匹配事件命 匹配事件数量 搜索动作 按时间轴显示洁果数星分布 1一1吁 日月11日 用一3月12日 用二3月13日 周三3月14日 同四3月5日 用五3月18日 Field discovery Is:[用□ 54.792事伫全郃 Ic Hide 国垂导出连项 结果区圾 上一步国2345678910下-步,10 par page clected fields Ecit :59:54]' GEl/f1Nersτcre/ category. screen’ category11= ANUY HIIP/L,⊥"∠e⊥5b bx111a/5, 字没边栏 (X11; U; Linux 16aE; en 18.8.10) Gecko/20970223 Centos/ at-cpachc2. splunk. odata z p. apushc or/access comb rod. log a poduct ld (9) a poduct namc间 12-3-17 2012:23:59:34 storc/images/cat3. gif Http/1.126 source (3) F: //mysto con/flower store/iter IONID-SDSsL12F 3”"Mozi 0(X1l; U; Linux 19)Geck/29878223cant 10-01 el4, centos Firefox/1. 5. 3 663244 sourcetype(1) osteapache2 splunk com shen 7p.apache2 splunk com/access comb ned log sourcetype=access combined cookie 7 interesting fie ds a action(2 F08 5934.00"hTTE: //mystore, splunk con/flower- store/ cart. dp? actic [17/mar/2812: 23: 59: 34]'get /flowerstcre/category. screen?category. i1=candy Http/1. 128e 10567 (A11; U; Linux 1686; en-US; rv: 1.8.0, 10, Gecku/20070223 CentoS/-.5 :1: 148 JSESSLUN⊥U=SU5L⊥F8AUf」”"z111a/5,划 1,14, centos Firefox/1.5,8,16"31871245 Clentip (100 host=apache splunk. com beijrg webserver I souce=Sarp edata. zip. / apac ne3 s plunk. com/access_ combined log sourcety pe=access combined cookie I octonary id-CANDY *说明1:搜索结果的过程中,如果数据量很大,到30秒的时候系统会自动提示是否 暂停搜索还是继续完成搜索,你可以选择继续或者暂停 **说明2:后续的例子中截图的显小数字不见得和你自己搜索结果的数字完全一样, 力外因为样本数据是每天更新的,所以截图里数据的时间戳也会和你自己练习的内 容不一样。 开始数据搜索 在上面的结果中,我们可以继续在搜索框输入额外的搜索条件(搜索时间范围 保持“全部时间”)。例如我们希望查找一下10.2.1.44这个P地址。我们可以在之前的 条件后面用空格分隔一下输入IP地址。在键入搜索内容的时候,你会发现下面会有 些搜索内谷的建议显示出来。这部分是 Splunk的搜索助手,它可以提供匹配你搜索内 容的后续的搜索建议,或者是一个搜索命令的简要帮助。 **搜索结米页面的时间轴也是我们可以用鼠标来点击交互操作的,大家可以自已试看用鼠标单方或者双 击或者选择时间轴的一个段溶来看看不同的搜索结显示效果。另外,时间池国选择也是可以自定义的, 这部分内容比较简单,就不详细说明了 搜索条件你也可以使用鼠标在结果内容区城进行点击的交互操作,被点击的内 谷会被自动增加到搜索框中 Search sourcetype=access ccmbined cookie 10.2 Matching terms Note: Consider usirg CIDR support in the search operator (e.g, host=10.0.0.1716 10.2.1≤4 10.21 10.2.91.30 How to search 10.2.31.31 195 Step 1: Retrieve Events 10,a913 229 The simplest searches ret n events hat match terms you type into the search har 10.2.91.3 230 erms: error login 10.2.91.34 quoted phrases: database errort 10_.91.35 olean operators=n NoI [error DR fail) 10.291.36 102.9137 17 widcard 102.31.36 feld values. status=404 statusi=n04, or status3200 102.313g 1 step 2: Use Search Commands 10.29140 263 Morc advanced scarchos usc commands to transfom, filter, ana rcpcrt on the events A 搜索结束后你可以看到,符合这种全文搜索的条件的匹配结果会被高亮显示出 来 搜索 sour cette= combined cookie"10.2. 1,44 81笔匹配事件 国回[创建 A -ide Q Zoom a Zoom to selection DEselect Linear scale1=小p 用时月11日 二3月13日 三3.314日 IL 17年 Field dis∞ overy is:[月 81事件全部时间 日,d分号出达项 上-步国25456789下-步 a category id 5) L7/ma-/2012: 23: 54: 291get flower store/ product screeniproduct id-fl-lh-b2 Http/1. 1 208 10929 a host (3 z11a/5,a(X11 U; LinUX26出6;enυUS;rv:.s,.23)Lecκ。/223 certo>/5,囝二日日.114. centos tiret0x/1.5,日,”4∠8514 H price ? ourecety po- acess sombined cookie produet 1 -. DLH02 category -FLOvERs price-79 I prod. sct r arree Gardenia Bonsai Plant a product a saurce(3) a surely a (17 emory id- FLOWERS ,vgr e-samplecata zip: apache splunk com/access_combned log 27 interasting fields a action p 4393.000 [17/na-/2E12: 23: 43:001"post /tlCwEr-store order. do HttP/1. Icnid-sd55l1ffradfF3"NOzL1La/5.0(x11; li 每byts(2 Linux 1686: en-US: r/: I 8.0.10) Gecko/200/0223 Centos/1.5.6.10-0.1. el4. centos Firefox/1.5.0. 10"2271 22 Splunk的搜索输入框支持逻辑关系的组合,例如我们在上面搜索条件的基础上 希望看到一些有purchase的字样,而且HTTP状态不是200的事件,我们可以使用下 面的条件来匹配这些数据(后续会涉及到更加准确的搜索方法)。 sourcetype=access combined cookie 10.2.l44 purchase NOT 200 scurtetyp="eCCe>> cumbre wtcukle"18. 2. 1.44 purchase NOT 200 全部时旧 √16笔匹配事件 国国保在剑 o Zoom Io Linear scale -312日 司二3月13日 芦三34日 同阿月15 Field discovery is:[正16事伫全部时间 sHide 三睡A(导出运项 上一步国2下-步10 per pag9g 912: 15: 34: 0a]GET /flower store/cart. do? action-purchase&it 萨pnce u produet id D N prodct rame (9y 的 ckie product d=F|-sW1 ice=B9 ,I Product neme Tea& S)a Git Se. d sURVe②2 [16/Mer /2022, 15. 32. 50]"GET /lower_sture/cart,o?ac 27 interesting fields N rtion (1) if Eles (2y 123-16l 10.2.1 44-.[15/mar/2012: 89: 07: 211get /flswer-store/cart. do? actionapurchasegiten idaest-15 Http/1.1"50315536 Splunk还支持通过键盘按键和鼠标点击的组合方式来改变搜索条件。例如我们 用鼠标放到结果中的503这个数字上,使用alt+点击( Windows中是用ctrl+点击), 你会看到NOT503这个条件被自动增加到搜索条件中,表示我们希望在搜索结果中排 除数字不是503的搜索结果。 scurcetypea'access comb:- ned Kcookle'102 1.44 purchase NOT 200 NOT SD3 全部时间 y1笔匹配事什 CHide Q Zorn eL Zoom o se'ertan Deselect Unear scae =1毫秒 上千1234分17.D秒 上午12时34分1000秒 上+123分70秒 区He 国画dG号出达项 0 PaPAgO 6 selected felds 12314下午10.2,1,44-·[4/Mar/2812:15:34:7'ET r sto-e/ cart. d?asticn-purchaseditem Linux i 8eec61145x111-84329 4 aroduct id(0 jU/apac NC wp uk a product rame (1) I produat_ld-Fl sw o 89 .I produet name=Tea& Spc Gift s 字段搜索 字段是名字值的配对,所有的字段都有一个描述性的名字并且可以被搜索到, 例如 chienti是访问 webserver的客户端IP地址,timc是事件的时间戳,host是服务 器的主机名(或者I地址),等等。通过字段搜索可以让我们更快、更准确的搜索到 所要定位到的内容,而且你可以通过字段对各种搜索结果进行进一步的统计分析、报 表展现,等等更多的分析操作 在木练习中, Splunk可以自动识别 apache日志中的各种字段名称。 Splunk也允 许你很方便的通过正则表达式的方式来定义你所需要抽取的字段内容,详细的字段定 义,详细的解释和操作方法可以参考 Splunk手册中的 Knowledge Manager Manual中这 甲有关字段的部分。 页面左侧的字段边栏里面显小了所有可用的字段信息,卜图中系统默认字段 host、 Source、 sourcetype在搜索结果中显小出来 Field d scovery is: [ Or 9, 277 events yesterday during Tuesday, December 27, 2011) 国田Axot a prev 1 2 3 4 5678 s 10 nex: x 10 cer page 3 sclccted hclds /2011 23:59:34]GEl itlower store/ca egory, screen category- 10=CANDY HIIP/l Noz111a!5,8 d?9 你可以点击Edit链接来增加希望显示的字段名称。例如我们选择把以卜3个字 段添加到可显示的字段列表中,保存后在贞面中可以看到被增加的这三个字段。 action、 category id、 product id 10 【实例截图】
【核心代码】
标签:
好例子网口号:伸出你的我的手 — 分享!
小贴士
感谢您为本站写下的评论,您的评论对其它用户来说具有重要的参考价值,所以请认真填写。
- 类似“顶”、“沙发”之类没有营养的文字,对勤劳贡献的楼主来说是令人沮丧的反馈信息。
- 相信您也不想看到一排文字/表情墙,所以请不要反馈意义不大的重复字符,也请尽量不要纯表情的回复。
- 提问之前请再仔细看一遍楼主的说明,或许是您遗漏了。
- 请勿到处挖坑绊人、招贴广告。既占空间让人厌烦,又没人会搭理,于人于己都无利。
关于好例子网
本站旨在为广大IT学习爱好者提供一个非营利性互相学习交流分享平台。本站所有资源都可以被免费获取学习研究。本站资源来自网友分享,对搜索内容的合法性不具有预见性、识别性、控制性,仅供学习研究,请务必在下载后24小时内给予删除,不得用于其他任何用途,否则后果自负。基于互联网的特殊性,平台无法对用户传输的作品、信息、内容的权属或合法性、安全性、合规性、真实性、科学性、完整权、有效性等进行实质审查;无论平台是否已进行审查,用户均应自行承担因其传输的作品、信息、内容而可能或已经产生的侵权或权属纠纷等法律责任。本站所有资源不代表本站的观点或立场,基于网友分享,根据中国法律《信息网络传播权保护条例》第二十二与二十三条之规定,若资源存在侵权或相关问题请联系本站客服人员,点此联系我们。关于更多版权及免责申明参见 版权及免责申明
网友评论
我要评论