首先先決定資料來源
index=xxx
splunk的條件下法與mysql不同,他事先篩選資料,條件與條件中間預設是使用AND連結
index=xxx clientip=127.0.0.1 clientip=168.95.1.1
可以用的邏輯符號有 AND, OR, NOT, XOR, <, >, !=, ==, LIKE,記得要用大寫,這個大寫害我浪費了一個小時= =
index=xxx clientip=127.0.0.1 OR clientip=168.95.1.1
接下來做簡單的時間區隔,可以用的指令有
earliest(最近的時間),latest(最晚的時間),now(現在時間),如果要找最近一筆資料的前24小時內的資料
index=xxx clientip=127.0.0.1 OR clientip=168.95.1.1 earliest=-24h@h latest=now
如果在時間前面加上@,就是整的意思
index=xxx clientip=127.0.0.1 OR clientip=168.95.1.1 earliest=-1d@d latest=@d
要查某個日期的資料
index=xxx 日期
使用正規表示法查資料
index=xxx regex 欄位="正規表示法"
其他可能會用來排序的指令
index=xxx | top limit=10 clientip #取出clientip前十名的數量
index=xxx | stats count as 欄位名稱 #計算數量
index=xxx
splunk的條件下法與mysql不同,他事先篩選資料,條件與條件中間預設是使用AND連結
index=xxx clientip=127.0.0.1 clientip=168.95.1.1
可以用的邏輯符號有 AND, OR, NOT, XOR, <, >, !=, ==, LIKE,記得要用大寫,這個大寫害我浪費了一個小時= =
index=xxx clientip=127.0.0.1 OR clientip=168.95.1.1
接下來做簡單的時間區隔,可以用的指令有
earliest(最近的時間),latest(最晚的時間),now(現在時間),如果要找最近一筆資料的前24小時內的資料
index=xxx clientip=127.0.0.1 OR clientip=168.95.1.1 earliest=-24h@h latest=now
如果在時間前面加上@,就是整的意思
index=xxx clientip=127.0.0.1 OR clientip=168.95.1.1 earliest=-1d@d latest=@d
要查某個日期的資料
index=xxx 日期
使用正規表示法查資料
index=xxx regex 欄位="正規表示法"
其他可能會用來排序的指令
index=xxx | top limit=10 clientip #取出clientip前十名的數量
index=xxx | stats count as 欄位名稱 #計算數量