Splunk - Hướng dẫn nhanh
Splunk là một phần mềm xử lý và mang lại cái nhìn sâu sắc từ dữ liệu máy và các dạng dữ liệu lớn khác. Dữ liệu máy này được tạo ra bởi CPU chạy máy chủ web, thiết bị IOT, nhật ký từ các ứng dụng di động, v.v. Không cần thiết phải cung cấp dữ liệu này cho người dùng cuối và không có bất kỳ ý nghĩa kinh doanh nào. Tuy nhiên, chúng cực kỳ quan trọng để hiểu, theo dõi và tối ưu hóa hiệu suất của máy.
Splunk có thể đọc dữ liệu không có cấu trúc, bán cấu trúc hoặc hiếm khi có cấu trúc này. Sau khi đọc dữ liệu, nó cho phép tìm kiếm, gắn thẻ, tạo báo cáo và trang tổng quan trên những dữ liệu này. Với sự ra đời của dữ liệu lớn, Splunk hiện có thể nhập dữ liệu lớn từ nhiều nguồn khác nhau, có thể là dữ liệu máy hoặc có thể không phải là dữ liệu máy và chạy phân tích trên dữ liệu lớn.
Vì vậy, từ một công cụ đơn giản để phân tích nhật ký, Splunk đã trải qua một chặng đường dài để trở thành một công cụ phân tích chung cho dữ liệu máy không có cấu trúc và các dạng dữ liệu lớn khác nhau.
Danh mục sản phẩm
Splunk có sẵn trong ba loại sản phẩm khác nhau như sau:
Splunk Enterprise- Nó được sử dụng bởi các công ty có cơ sở hạ tầng CNTT lớn và kinh doanh theo định hướng CNTT. Nó giúp thu thập và phân tích dữ liệu từ các trang web, ứng dụng, thiết bị và cảm biến, v.v.
Splunk Cloud- Đây là nền tảng được lưu trữ trên đám mây với các tính năng tương tự như phiên bản doanh nghiệp. Nó có thể được cung cấp từ chính Splunk hoặc thông qua nền tảng đám mây AWS.
Splunk Light- Nó cho phép tìm kiếm, báo cáo và cảnh báo về tất cả dữ liệu nhật ký trong thời gian thực từ một nơi. Nó có các chức năng và tính năng hạn chế so với hai phiên bản còn lại.
Tính năng Splunk
Trong phần này, chúng ta sẽ thảo luận về các tính năng quan trọng của phiên bản doanh nghiệp -
Nhập dữ liệu
Splunk có thể nhập nhiều định dạng dữ liệu khác nhau như JSON, XML và dữ liệu máy không có cấu trúc như nhật ký web và ứng dụng. Dữ liệu phi cấu trúc có thể được mô hình hóa thành cấu trúc dữ liệu khi người dùng cần.
Lập chỉ mục dữ liệu
Dữ liệu đã nhập được Splunk lập chỉ mục để tìm kiếm và truy vấn nhanh hơn trên các điều kiện khác nhau.
Tìm kiếm dữ liệu
Tìm kiếm trong Splunk liên quan đến việc sử dụng dữ liệu được lập chỉ mục cho mục đích tạo chỉ số, dự đoán xu hướng trong tương lai và xác định các mẫu trong dữ liệu.
Sử dụng Cảnh báo
Cảnh báo rác có thể được sử dụng để kích hoạt email hoặc nguồn cấp RSS khi một số tiêu chí cụ thể được tìm thấy trong dữ liệu đang được phân tích.
Trang tổng quan
Splunk Dashboards có thể hiển thị kết quả tìm kiếm dưới dạng biểu đồ, báo cáo và trục, v.v.
Mô hình dữ liệu
Dữ liệu được lập chỉ mục có thể được mô hình hóa thành một hoặc nhiều tập dữ liệu dựa trên kiến thức miền chuyên biệt. Điều này dẫn đến việc điều hướng dễ dàng hơn bởi người dùng cuối, những người phân tích các trường hợp kinh doanh mà không cần học các kỹ thuật của ngôn ngữ xử lý tìm kiếm được Splunk sử dụng.
Trong hướng dẫn này, chúng tôi sẽ hướng đến việc cài đặt phiên bản doanh nghiệp. Phiên bản này có sẵn để đánh giá miễn phí trong 60 ngày với tất cả các tính năng được bật. Bạn có thể tải xuống thiết lập bằng liên kết bên dưới, có sẵn cho cả nền tảng windows và Linux.
https://www.splunk.com/en_us/download/splunk-enterprise.html.
Phiên bản Linux
Phiên bản Linux được tải xuống từ liên kết tải xuống ở trên. Chúng tôi chọn loại gói .deb vì quá trình cài đặt sẽ được thực hiện trên nền tảng Ubuntu.
Chúng ta sẽ tìm hiểu điều này với cách tiếp cận từng bước -
Bước 1
Tải xuống gói .deb như được hiển thị trong ảnh chụp màn hình bên dưới -
Bước 2
Đi tới thư mục tải xuống và cài đặt Splunk bằng gói đã tải xuống ở trên.
Bước 3
Tiếp theo, bạn có thể khởi động Splunk bằng cách sử dụng lệnh sau với đối số chấp nhận giấy phép. Nó sẽ hỏi tên người dùng và mật khẩu quản trị viên mà bạn nên cung cấp và ghi nhớ.
Bước 4
Máy chủ Splunk khởi động và đề cập đến URL mà giao diện Splunk có thể được truy cập.
Bước 5
Bây giờ, bạn có thể truy cập URL Splunk và nhập ID người dùng quản trị và mật khẩu đã tạo ở bước 3.
Phiên bản Windows
Phiên bản windows có sẵn dưới dạng trình cài đặt msi như được hiển thị trong hình ảnh bên dưới -
Nhấp đúp vào trình cài đặt msi sẽ cài đặt phiên bản Windows trong một quy trình thẳng. Hai bước quan trọng mà chúng ta phải lựa chọn đúng để cài đặt thành công như sau.
Bước 1
Vì chúng tôi đang cài đặt nó trên một hệ thống cục bộ, hãy chọn tùy chọn hệ thống cục bộ như được cung cấp bên dưới -
Bước 2
Nhập mật khẩu cho quản trị viên và ghi nhớ mật khẩu vì nó sẽ được sử dụng trong các cấu hình trong tương lai.
Bước 3
Ở bước cuối cùng, chúng ta thấy rằng Splunk đã được cài đặt thành công và nó có thể được khởi chạy từ trình duyệt web.
Bước 4
Tiếp theo, mở trình duyệt và nhập url đã cho, http://localhost:8000và đăng nhập vào Splunk bằng ID người dùng và mật khẩu quản trị viên.
Giao diện web Splunk bao gồm tất cả các công cụ bạn cần để tìm kiếm, báo cáo và phân tích dữ liệu được nhập vào. Giao diện web tương tự cung cấp các tính năng để quản lý người dùng và vai trò của họ. Nó cũng cung cấp các liên kết để nhập dữ liệu và các ứng dụng cài sẵn có sẵn trong Splunk.
Hình dưới đây hiển thị màn hình ban đầu sau khi bạn đăng nhập vào Splunk bằng thông tin đăng nhập quản trị viên.
Liên kết quản trị viên
Quản trị viên thả xuống cung cấp tùy chọn để đặt và chỉnh sửa chi tiết của quản trị viên. Chúng tôi có thể đặt lại ID và mật khẩu email quản trị viên bằng màn hình bên dưới -
Hơn nữa từ liên kết quản trị viên, chúng tôi cũng có thể điều hướng đến tùy chọn tùy chọn nơi chúng tôi có thể đặt múi giờ và ứng dụng nhà mà trang đích sẽ mở sau khi bạn đăng nhập. Hiện tại, nó đã mở trên Trang chủ như hình dưới đây -
Liên kết cài đặt
Đây là một liên kết hiển thị tất cả các tính năng cốt lõi có trong Splunk. Ví dụ: bạn có thể thêm tệp tra cứu và định nghĩa tra cứu bằng cách chọn liên kết tra cứu.
Chúng tôi sẽ thảo luận về các cài đặt quan trọng của các liên kết này trong các chương tiếp theo.
Liên kết Tìm kiếm và Báo cáo
Liên kết tìm kiếm và báo cáo đưa chúng tôi đến các tính năng nơi chúng tôi có thể tìm thấy các tập dữ liệu có sẵn để tìm kiếm các báo cáo và cảnh báo được tạo cho các tìm kiếm này. Nó được hiển thị rõ ràng trong ảnh chụp màn hình bên dưới -
Quá trình nhập dữ liệu trong Splunk xảy ra thông qua Add Datalà một phần của ứng dụng tìm kiếm và báo cáo. Sau khi đăng nhập, màn hình chính của giao diện Splunk hiển thịAdd Data biểu tượng như hình bên dưới.
Khi nhấp vào nút này, chúng ta sẽ thấy màn hình để chọn nguồn và định dạng của dữ liệu mà chúng ta định đẩy lên Splunk để phân tích.
Thu thập dữ liệu
Chúng tôi có thể lấy dữ liệu để phân tích từ Trang web chính thức của Splunk. Lưu tệp này và giải nén nó trong ổ đĩa cục bộ của bạn. Khi mở thư mục, bạn có thể tìm thấy ba tệp có các định dạng khác nhau. Chúng là dữ liệu nhật ký được tạo bởi một số ứng dụng web. Chúng tôi cũng có thể thu thập một bộ dữ liệu khác do Splunk cung cấp, có sẵn tại trang web Splunk chính thức.
Chúng tôi sẽ sử dụng dữ liệu từ cả hai bộ này để hiểu hoạt động của các tính năng khác nhau của Splunk.
Tải lên dữ liệu
Tiếp theo, chúng tôi chọn tệp, secure.log từ thư mục, mailsvmà chúng tôi đã lưu giữ trong hệ thống cục bộ của chúng tôi như đã đề cập trong đoạn trước. Sau khi chọn tệp, chúng tôi chuyển sang bước tiếp theo bằng cách sử dụng nút tiếp theo màu xanh lá cây ở góc trên cùng bên phải.
Chọn loại nguồn
Splunk có một tính năng tích hợp để phát hiện loại dữ liệu đang được nhập. Nó cũng cung cấp cho người dùng một tùy chọn để chọn kiểu dữ liệu khác với kiểu được Splunk chọn. Khi nhấp vào trình đơn thả xuống loại nguồn, chúng ta có thể thấy nhiều loại dữ liệu khác nhau mà Splunk có thể nhập và cho phép tìm kiếm.
Trong ví dụ hiện tại được đưa ra bên dưới, chúng tôi chọn loại nguồn mặc định.
Nhập vào cài đặt
Trong bước nhập dữ liệu này, chúng tôi định cấu hình tên máy chủ mà từ đó dữ liệu đang được nhập. Sau đây là các tùy chọn để chọn, cho tên máy chủ -
Giá trị hiện có
Nó là tên máy chủ hoàn chỉnh nơi chứa dữ liệu nguồn.
regex trên con đường
Khi bạn muốn trích xuất tên máy chủ bằng một biểu thức chính quy. Sau đó, nhập regex cho máy chủ lưu trữ bạn muốn trích xuất trong trường Biểu thức chính quy.
phân đoạn trong đường dẫn
Khi bạn muốn trích xuất tên máy chủ từ một phân đoạn trong đường dẫn của nguồn dữ liệu, hãy nhập số phân đoạn vào trường Số phân đoạn. Ví dụ: nếu đường dẫn đến nguồn là / var / log / và bạn muốn phân đoạn thứ ba (tên máy chủ lưu trữ) là giá trị máy chủ lưu trữ, hãy nhập "3".
Tiếp theo, chúng ta chọn kiểu chỉ mục sẽ được tạo trên dữ liệu đầu vào để tìm kiếm. Chúng tôi chọn chiến lược chỉ mục mặc định. Chỉ mục tóm tắt chỉ tạo tóm tắt dữ liệu thông qua tổng hợp và tạo chỉ mục trên đó trong khi chỉ mục lịch sử là để lưu trữ lịch sử tìm kiếm. Nó được mô tả rõ ràng trong hình ảnh bên dưới -
Xem lại Cài đặt
Sau khi nhấp vào nút tiếp theo, chúng tôi thấy bản tóm tắt các cài đặt chúng tôi đã chọn. Chúng ta xem lại và chọn Tiếp theo để hoàn tất việc tải dữ liệu lên.
Khi hoàn tất quá trình tải, màn hình bên dưới sẽ xuất hiện cho thấy quá trình nhập dữ liệu thành công và các hành động có thể khác mà chúng tôi có thể thực hiện đối với dữ liệu.
Tất cả dữ liệu đến Splunk trước tiên được đánh giá bởi đơn vị xử lý dữ liệu sẵn có của nó và được phân loại thành các loại và danh mục dữ liệu nhất định. Ví dụ: nếu đó là nhật ký từ máy chủ web apache, Splunk có thể nhận ra điều đó và tạo các trường thích hợp từ dữ liệu đã đọc.
Tính năng này trong Splunk được gọi là phát hiện kiểu nguồn và nó sử dụng các kiểu nguồn tích hợp sẵn được gọi là kiểu nguồn "được đào tạo trước" để đạt được điều này.
Điều này làm cho mọi thứ dễ dàng hơn cho việc phân tích vì người dùng không phải phân loại dữ liệu theo cách thủ công và gán bất kỳ kiểu dữ liệu nào cho các trường của dữ liệu đến.
Các loại nguồn được hỗ trợ
Các loại nguồn được hỗ trợ trong Splunk có thể được nhìn thấy bằng cách tải lên tệp thông qua Add Datarồi chọn menu thả xuống cho Loại nguồn. Trong hình ảnh bên dưới, chúng tôi đã tải lên tệp CSV và sau đó kiểm tra tất cả các tùy chọn có sẵn.
Loại nguồn phụ Danh mục
Ngay cả trong các danh mục đó, chúng tôi có thể nhấp thêm để xem tất cả các danh mục phụ được hỗ trợ. Vì vậy, khi bạn chọn danh mục cơ sở dữ liệu, bạn có thể tìm thấy các loại cơ sở dữ liệu khác nhau và các tệp được hỗ trợ của chúng mà Splunk có thể nhận ra.
Các loại nguồn được đào tạo trước
Bảng dưới đây liệt kê một số loại nguồn quan trọng được đào tạo trước mà Splunk nhận ra -
Tên loại nguồn | Thiên nhiên |
---|---|
access_combined | Nhật ký máy chủ web http định dạng kết hợp NCSA (có thể được tạo bởi apache hoặc các máy chủ web khác) |
access_combined_wcookie | Nhật ký máy chủ web http định dạng kết hợp NCSA (có thể được tạo bởi apache hoặc các máy chủ web khác), với trường cookie được thêm vào cuối |
apache_error | Nhật ký lỗi máy chủ web Apache tiêu chuẩn |
linux_messages_syslog | Nhật ký hệ thống linux tiêu chuẩn (/ var / log / messages trên hầu hết các nền tảng) |
log4j | Đầu ra chuẩn Log4j được tạo ra bởi bất kỳ máy chủ J2EE nào sử dụng log4j |
mysqld_error | Nhật ký lỗi mysql chuẩn |
Splunk có chức năng tìm kiếm mạnh mẽ cho phép bạn tìm kiếm toàn bộ tập dữ liệu được nhập vào. Tính năng này được truy cập thông qua ứng dụng có tên làSearch & Reporting có thể thấy ở thanh bên trái sau khi đăng nhập vào giao diện web.
Khi nhấp vào search & Reporting ứng dụng, chúng tôi được giới thiệu với một hộp tìm kiếm, nơi chúng tôi có thể bắt đầu tìm kiếm trên dữ liệu nhật ký mà chúng tôi đã tải lên trong chương trước.
Chúng tôi gõ tên máy chủ theo định dạng như hình dưới đây và nhấp vào biểu tượng tìm kiếm ở góc phải bên phải. Điều này cho chúng tôi kết quả làm nổi bật cụm từ tìm kiếm.
Kết hợp các cụm từ tìm kiếm
Chúng tôi có thể kết hợp các cụm từ được sử dụng để tìm kiếm bằng cách viết chúng lần lượt nhưng đặt các chuỗi tìm kiếm của người dùng dưới dấu ngoặc kép.
Sử dụng thẻ Wild
Chúng tôi có thể sử dụng các thẻ đại diện trong tùy chọn tìm kiếm của mình kết hợp với AND/ORcác toán tử. Trong tìm kiếm bên dưới, chúng tôi nhận được kết quả trong đó tệp nhật ký có các cụm từ chứa fail, fail, fail, v.v., cùng với cụm từ mật khẩu trên cùng một dòng.
Tinh chỉnh kết quả tìm kiếm
Chúng tôi có thể tinh chỉnh thêm kết quả tìm kiếm bằng cách chọn một chuỗi và thêm nó vào tìm kiếm. Trong ví dụ dưới đây, chúng tôi nhấp qua chuỗi3351 và chọn tùy chọn Add to Search.
Sau 3351được thêm vào cụm từ tìm kiếm, chúng tôi nhận được kết quả bên dưới chỉ hiển thị những dòng từ nhật ký chứa 3351 trong đó. Đồng thời đánh dấu dòng thời gian của kết quả tìm kiếm đã thay đổi như thế nào khi chúng tôi đã tinh chỉnh tìm kiếm.
Khi Splunk đọc dữ liệu máy được tải lên, nó sẽ diễn giải dữ liệu và chia dữ liệu đó thành nhiều trường thể hiện một thực tế logic duy nhất về toàn bộ bản ghi dữ liệu.
Ví dụ: một bản ghi thông tin đơn lẻ có thể chứa tên máy chủ, dấu thời gian của sự kiện, loại sự kiện được ghi lại cho dù nỗ lực đăng nhập hay phản hồi http, v.v. Ngay cả trong trường hợp dữ liệu không có cấu trúc, Splunk cố gắng chia các trường thành giá trị khóa ghép hoặc tách chúng dựa trên kiểu dữ liệu mà chúng có, số và chuỗi, v.v.
Tiếp tục với dữ liệu đã tải lên trong chương trước, chúng ta có thể thấy các trường từ secure.logbằng cách nhấp vào liên kết hiển thị các trường sẽ mở ra màn hình sau. Chúng ta có thể nhận thấy các trường Splunk đã tạo từ tệp nhật ký này.
Chọn các trường
Chúng ta có thể chọn các trường sẽ được hiển thị bằng cách chọn hoặc bỏ chọn các trường từ danh sách tất cả các trường. Nhấp vàoall fieldsmở một cửa sổ hiển thị danh sách tất cả các trường. Một số trường này có dấu kiểm đối với chúng cho thấy chúng đã được chọn. Chúng tôi có thể sử dụng các hộp kiểm để chọn các trường của chúng tôi để hiển thị.
Bên cạnh tên của trường, nó hiển thị số lượng giá trị riêng biệt mà các trường có, kiểu dữ liệu của nó và tỷ lệ phần trăm sự kiện mà trường này có mặt.
Tóm tắt trường
Số liệu thống kê rất chi tiết cho mọi trường đã chọn sẽ có sẵn bằng cách nhấp vào tên của trường. Nó hiển thị tất cả các giá trị riêng biệt cho trường, số lượng và tỷ lệ phần trăm của chúng.
Sử dụng các trường trong tìm kiếm
Tên trường cũng có thể được chèn vào hộp tìm kiếm cùng với các giá trị cụ thể cho tìm kiếm. Trong ví dụ dưới đây, chúng tôi muốn tìm tất cả các bản ghi cho ngày, ngày 15 tháng 10 cho máy chủ có tênmailsecure_log. Chúng tôi nhận được kết quả cho ngày cụ thể này.
Giao diện web Splunk hiển thị dòng thời gian cho biết sự phân bổ của các sự kiện trong một khoảng thời gian. Có các khoảng thời gian đặt trước mà từ đó bạn có thể chọn một phạm vi thời gian cụ thể hoặc bạn có thể tùy chỉnh phạm vi thời gian theo nhu cầu của mình.
Màn hình bên dưới hiển thị các tùy chọn dòng thời gian đặt trước khác nhau. Việc chọn bất kỳ tùy chọn nào trong số này sẽ chỉ tìm nạp dữ liệu cho khoảng thời gian cụ thể mà bạn cũng có thể phân tích thêm, sử dụng các tùy chọn dòng thời gian tùy chỉnh có sẵn.
Ví dụ: việc chọn tùy chọn tháng trước chỉ cung cấp cho chúng tôi kết quả cho tháng trước vì bạn có thể thấy mức chênh lệch của biểu đồ dòng thời gian bên dưới.
Chọn tập hợp con thời gian
Bằng cách nhấp và kéo qua các thanh trong dòng thời gian, chúng ta có thể chọn một tập hợp con của kết quả đã tồn tại. Điều này không gây ra việc thực hiện lại truy vấn. Nó chỉ lọc ra các bản ghi từ tập kết quả hiện có.
Hình ảnh dưới đây cho thấy việc lựa chọn một tập hợp con từ tập hợp kết quả -
Sớm nhất và mới nhất
Hai lệnh, sớm nhất và mới nhất có thể được sử dụng trong thanh tìm kiếm để chỉ ra khoảng thời gian mà bạn lọc ra kết quả. Nó tương tự như việc chọn tập hợp con thời gian, nhưng nó thông qua các lệnh chứ không phải tùy chọn nhấp vào một thanh dòng thời gian cụ thể. Vì vậy, nó cung cấp khả năng kiểm soát tốt hơn đối với phạm vi dữ liệu mà bạn có thể chọn để phân tích.
Trong hình trên, chúng tôi đưa ra phạm vi thời gian từ 7 ngày qua đến 15 ngày qua. Vì vậy, dữ liệu giữa hai ngày này được hiển thị.
Sự kiện lân cận
Chúng tôi cũng có thể tìm thấy các sự kiện lân cận của một thời gian cụ thể bằng cách đề cập đến mức độ chúng tôi muốn các sự kiện được lọc ra. Chúng tôi có tùy chọn chọn tỷ lệ của khoảng thời gian, như - giây, phút, ngày và tuần, v.v.
Khi bạn chạy một truy vấn tìm kiếm, kết quả được lưu trữ dưới dạng công việc trong máy chủ Splunk. Mặc dù công việc này được tạo bởi một người dùng cụ thể, nó có thể được chia sẻ với những người dùng khác để họ có thể bắt đầu sử dụng tập kết quả này mà không cần thiết phải xây dựng lại truy vấn cho nó. Kết quả cũng có thể được xuất và lưu dưới dạng tệp có thể được chia sẻ với những người dùng không sử dụng Splunk.
Chia sẻ kết quả tìm kiếm
Khi truy vấn đã chạy thành công, chúng ta có thể thấy một mũi tên hướng lên nhỏ ở giữa bên phải của trang web. Nhấp vào biểu tượng này cung cấp một URL nơi truy vấn và kết quả có thể được truy cập. Cần phải cấp quyền cho những người dùng sẽ sử dụng liên kết này. Quyền được cấp thông qua giao diện quản trị Splunk.
Tìm kết quả đã lưu
Có thể xác định vị trí các công việc được lưu để sử dụng bởi tất cả người dùng có quyền thích hợp bằng cách tìm kiếm liên kết công việc dưới menu hoạt động ở thanh trên cùng bên phải của giao diện Splunk. Trong hình ảnh dưới đây, chúng tôi nhấp vào liên kết được đánh dấu có tên các công việc để tìm các công việc đã lưu.
Sau khi nhấp vào liên kết trên, chúng ta nhận được danh sách tất cả các công việc đã lưu như hình bên dưới. Anh ta, chúng tôi phải lưu ý rằng có một bài đăng ngày hết hạn mà công việc đã lưu sẽ tự động bị xóa khỏi Splunk. Bạn có thể điều chỉnh ngày này bằng cách chọn công việc và nhấp vào Chỉnh sửa đã chọn, sau đó chọn Gia hạn thời gian hết hạn.
Xuất kết quả tìm kiếm
Chúng tôi cũng có thể xuất kết quả tìm kiếm thành một tệp. Ba định dạng khác nhau có sẵn để xuất là: CSV, XML và JSON. Nhấp vào nút Xuất sau khi chọn định dạng tải tệp từ trình duyệt cục bộ vào hệ thống cục bộ. Điều này được giải thích trong hình ảnh dưới đây -
Ngôn ngữ xử lý tìm kiếm Splunk (SPL) là một ngôn ngữ chứa nhiều lệnh, hàm, đối số, v.v., được viết để nhận được kết quả mong muốn từ các tập dữ liệu. Ví dụ: khi bạn nhận được tập hợp kết quả cho một cụm từ tìm kiếm, bạn có thể muốn lọc thêm một số cụm từ cụ thể hơn từ tập kết quả. Đối với điều này, bạn cần thêm một số lệnh bổ sung vào lệnh hiện có. Điều này đạt được bằng cách học cách sử dụng SPL.
Các thành phần của SPL
SPL có các thành phần sau.
Search Terms - Đây là những từ khóa hoặc cụm từ bạn đang tìm kiếm.
Commands - Hành động bạn muốn thực hiện trên tập hợp kết quả như định dạng kết quả hoặc đếm chúng.
Functions- Các phép tính bạn sẽ áp dụng vào kết quả là gì. Như Tổng, Trung bình, v.v.
Clauses - Cách nhóm hoặc đổi tên các trường trong tập kết quả.
Hãy để chúng tôi thảo luận về tất cả các thành phần với sự trợ giúp của hình ảnh trong phần bên dưới -
Cụm từ tìm kiếm
Đây là những thuật ngữ bạn đề cập trong thanh tìm kiếm để lấy các bản ghi cụ thể từ tập dữ liệu đáp ứng tiêu chí tìm kiếm. Trong ví dụ dưới đây, chúng tôi đang tìm kiếm các bản ghi có chứa hai cụm từ được đánh dấu.
Lệnh
Bạn có thể sử dụng nhiều lệnh dựng sẵn mà SPL cung cấp để đơn giản hóa quá trình phân tích dữ liệu trong tập kết quả. Trong ví dụ dưới đây, chúng tôi sử dụng lệnh head để chỉ lọc ra 3 kết quả hàng đầu từ thao tác tìm kiếm.
Chức năng
Cùng với các lệnh, Splunk cũng cung cấp nhiều hàm tích hợp có thể lấy đầu vào từ một trường đang được phân tích và đưa ra kết quả sau khi áp dụng các tính toán trên trường đó. Trong ví dụ dưới đây, chúng tôi sử dụngStats avg() hàm tính giá trị trung bình của trường số được lấy làm đầu vào.
Điều khoản
Khi chúng tôi muốn nhận kết quả được nhóm theo một số trường cụ thể hoặc chúng tôi muốn đổi tên một trường trong đầu ra, chúng tôi sử dụng group bymệnh đề và mệnh đề as tương ứng. Trong ví dụ dưới đây, chúng tôi nhận được kích thước trung bình của byte của mỗi tệp có trongweb_applicationnhật ký. Như bạn có thể thấy, kết quả hiển thị tên của từng tệp cũng như số byte trung bình cho mỗi tệp.