Splunk - Pesquisar idioma

O Splunk Search Processing Language (SPL) é uma linguagem que contém muitos comandos, funções, argumentos, etc., que são escritos para obter os resultados desejados dos conjuntos de dados. Por exemplo, quando você obtém um conjunto de resultados para um termo de pesquisa, pode ainda desejar filtrar alguns termos mais específicos do conjunto de resultados. Para isso, você precisa de alguns comandos adicionais a serem adicionados ao comando existente. Isso é feito aprendendo o uso de SPL.

Componentes do SPL

O SPL possui os seguintes componentes.

  • Search Terms - Estas são as palavras-chave ou frases que você está procurando.

  • Commands - A ação que você deseja realizar no conjunto de resultados, como formatar o resultado ou contá-los.

  • Functions- Quais são os cálculos que você vai aplicar nos resultados. Como soma, média etc.

  • Clauses - Como agrupar ou renomear os campos no conjunto de resultados.

Vamos discutir todos os componentes com a ajuda de imagens na seção abaixo -

Termos de pesquisa

Estes são os termos que você menciona na barra de pesquisa para obter registros específicos do conjunto de dados que atendem aos critérios de pesquisa. No exemplo abaixo, estamos procurando por registros que contêm dois termos destacados.

Comandos

Você pode usar muitos comandos embutidos que o SPL fornece para simplificar o processo de análise dos dados no conjunto de resultados. No exemplo a seguir, usamos o comando head para filtrar apenas os 3 principais resultados de uma operação de pesquisa.

Funções

Junto com os comandos, o Splunk também fornece muitas funções embutidas que podem obter a entrada de um campo sendo analisado e fornecer a saída após a aplicação dos cálculos naquele campo. No exemplo abaixo, usamos oStats avg() função que calcula o valor médio do campo numérico sendo tomado como entrada.

Cláusulas

Quando queremos obter resultados agrupados por algum campo específico ou queremos renomear um campo na saída, usamos o group bycláusula e a cláusula as respectivamente. No exemplo a seguir, obtemos o tamanho médio de bytes de cada arquivo presente noweb_applicationregistro. Como você pode ver, o resultado mostra o nome de cada arquivo, bem como a média de bytes de cada arquivo.