HOME | linux | splunk 常用搜尋指令

splunk 常用搜尋指令

2014/04/29/16:40 , Post in linux , 評論(0) , 引用(0) , 閱讀(8682) , Via 本站原創
首先先決定資料來源

index=xxx

splunk的條件下法與mysql不同,他事先篩選資料,條件與條件中間預設是使用AND連結

index=xxx clientip=127.0.0.1 clientip=168.95.1.1

可以用的邏輯符號有 AND, OR, NOT, XOR, <, >, !=, ==, LIKE,記得要用大寫,這個大寫害我浪費了一個小時=  =

index=xxx clientip=127.0.0.1 OR clientip=168.95.1.1

接下來做簡單的時間區隔,可以用的指令有

earliest(最近的時間),latest(最晚的時間),now(現在時間),如果要找最近一筆資料的前24小時內的資料

index=xxx clientip=127.0.0.1 OR clientip=168.95.1.1 earliest=-24h@h latest=now

如果在時間前面加上@,就是整的意思

index=xxx clientip=127.0.0.1 OR clientip=168.95.1.1 earliest=-1d@d latest=@d

要查某個日期的資料

index=xxx  日期

使用正規表示法查資料

index=xxx regex 欄位="正規表示法"

其他可能會用來排序的指令

index=xxx | top limit=10 clientip   #取出clientip前十名的數量

index=xxx | stats count  as 欄位名稱  #計算數量

發表評論

暱稱

網址

電郵

開啟HTML 開啟UBB 開啟表情 隱藏 記住我 [登入] [註冊]