Splunk-検索言語

Splunk Search Processing Language(SPL)は、データセットから目的の結果を取得するために記述された多くのコマンド、関数、引数などを含む言語です。たとえば、検索用語の結果セットを取得するときに、結果セットからさらに具体的な用語をフィルタリングしたい場合があります。このためには、既存のコマンドにいくつかの追加コマンドを追加する必要があります。これは、SPLの使用法を学習することによって実現されます。

SPLのコンポーネント

SPLには次のコンポーネントがあります。

  • Search Terms −これらはあなたが探しているキーワードやフレーズです。

  • Commands −結果のフォーマットやカウントなど、結果セットに対して実行するアクション。

  • Functions−結果に適用する計算は何ですか。合計、平均などのように。

  • Clauses −結果セットのフィールドをグループ化または名前変更する方法。

以下のセクションの画像を使用して、すべてのコンポーネントについて説明しましょう。

検索ワード

これらは、検索条件を満たすデータセットから特定のレコードを取得するために検索バーで言及する用語です。以下の例では、強調表示された2つの用語を含むレコードを検索しています。

コマンド

SPLが提供する多くの組み込みコマンドを使用して、結果セット内のデータを分析するプロセスを簡素化できます。以下の例では、headコマンドを使用して、検索操作の上位3件の結果のみを除外します。

関数

Splunkは、コマンドに加えて、分析対象のフィールドから入力を受け取り、そのフィールドに計算を適用した後に出力を提供できる多くの組み込み関数も提供します。以下の例では、Stats avg() 入力された数値フィールドの平均値を計算する関数。

条項

特定のフィールドでグループ化された結果を取得する場合、または出力のフィールドの名前を変更する場合は、 group byそれぞれ節とas節。以下の例では、に存在する各ファイルの平均バイトサイズを取得します。web_applicationログ。ご覧のとおり、結果には各ファイルの名前と各ファイルの平均バイト数が表示されます。