Splunk - Lingua di ricerca

Splunk Search Processing Language (SPL) è un linguaggio contenente molti comandi, funzioni, argomenti, ecc., Che vengono scritti per ottenere i risultati desiderati dai set di dati. Ad esempio, quando ottieni un set di risultati per un termine di ricerca, potresti voler filtrare ulteriormente alcuni termini più specifici dal set di risultati. Per questo, è necessario aggiungere alcuni comandi aggiuntivi al comando esistente. Ciò si ottiene imparando l'uso di SPL.

Componenti di SPL

L'SPL ha i seguenti componenti.

  • Search Terms - Queste sono le parole chiave o le frasi che stai cercando.

  • Commands - L'azione che vuoi intraprendere sul set di risultati come formattare il risultato o contarli.

  • Functions- Quali sono i calcoli che applicherai ai risultati. Come Sum, Average ecc.

  • Clauses - Come raggruppare o rinominare i campi nel set di risultati.

Cerchiamo di discutere tutti i componenti con l'aiuto delle immagini nella sezione sottostante -

Termini di ricerca

Questi sono i termini che menzioni nella barra di ricerca per ottenere record specifici dal set di dati che soddisfano i criteri di ricerca. Nell'esempio seguente, stiamo cercando record che contengono due termini evidenziati.

Comandi

È possibile utilizzare molti comandi integrati forniti da SPL per semplificare il processo di analisi dei dati nel set di risultati. Nell'esempio seguente utilizziamo il comando head per filtrare solo i primi 3 risultati di un'operazione di ricerca.

Funzioni

Insieme ai comandi, Splunk fornisce anche molte funzioni integrate che possono ricevere input da un campo analizzato e fornire l'output dopo aver applicato i calcoli su quel campo. Nell'esempio seguente, utilizziamo l'estensioneStats avg() funzione che calcola il valore medio del campo numerico preso come input.

Clausole

Quando vogliamo ottenere risultati raggruppati per qualche campo specifico o vogliamo rinominare un campo nell'output, usiamo il group byrispettivamente la clausola e la clausola as. Nell'esempio seguente, otteniamo la dimensione media dei byte di ogni file presente nel fileweb_applicationlog. Come puoi vedere, il risultato mostra il nome di ogni file così come i byte medi per ogni file.