Splunk-검색 언어
Splunk 검색 처리 언어 (SPL)는 데이터 세트에서 원하는 결과를 얻기 위해 작성된 많은 명령, 함수, 인수 등을 포함하는 언어입니다. 예를 들어, 검색어에 대한 결과 집합을 가져 오는 경우 결과 집합에서 더 구체적인 용어를 필터링 할 수 있습니다. 이를 위해 기존 명령에 몇 가지 추가 명령을 추가해야합니다. 이것은 SPL의 사용법을 학습함으로써 달성됩니다.
SPL의 구성 요소
SPL에는 다음과 같은 구성 요소가 있습니다.
Search Terms − 찾고있는 키워드 또는 문구입니다.
Commands − 결과 형식을 지정하거나 개수를 세는 것과 같이 결과 집합에 대해 수행하려는 작업.
Functions− 결과에 적용 할 계산은 무엇입니까? 합계, 평균 등
Clauses − 결과 집합에서 필드를 그룹화하거나 이름을 바꾸는 방법.
아래 섹션의 이미지를 사용하여 모든 구성 요소에 대해 논의하겠습니다.
검색어
검색 기준을 충족하는 데이터 세트에서 특정 레코드를 가져 오기 위해 검색 창에서 언급하는 용어입니다. 아래 예에서는 두 개의 강조 표시된 용어가 포함 된 레코드를 검색합니다.
명령
SPL이 제공하는 많은 내장 명령을 사용하여 결과 세트의 데이터 분석 프로세스를 단순화 할 수 있습니다. 아래 예에서는 head 명령을 사용하여 검색 작업에서 상위 3 개의 결과 만 필터링합니다.
기능
Splunk는 명령과 함께 분석중인 필드에서 입력을 받아 해당 필드에 계산을 적용한 후 출력을 제공 할 수있는 많은 내장 함수도 제공합니다. 아래 예에서 우리는Stats avg() 입력으로 사용되는 숫자 필드의 평균 값을 계산하는 함수입니다.
조항
특정 필드별로 그룹화 된 결과를 얻거나 출력에서 필드 이름을 바꾸고 싶을 때 group by절과 as 절이 각각 있습니다. 아래 예제에서 우리는 각 파일의 평균 바이트 크기를 얻습니다.web_application로그. 보시다시피 결과에는 각 파일의 이름과 각 파일의 평균 바이트가 표시됩니다.