Splunk - Ngôn ngữ tìm kiếm

Ngôn ngữ xử lý tìm kiếm Splunk (SPL) là một ngôn ngữ chứa nhiều lệnh, hàm, đối số, v.v., được viết ra để nhận được kết quả mong muốn từ các tập dữ liệu. Ví dụ: khi bạn nhận được tập hợp kết quả cho một cụm từ tìm kiếm, bạn có thể muốn lọc thêm một số cụm từ cụ thể hơn từ tập kết quả. Đối với điều này, bạn cần thêm một số lệnh bổ sung vào lệnh hiện có. Điều này đạt được bằng cách học cách sử dụng SPL.

Các thành phần của SPL

SPL có các thành phần sau.

  • Search Terms - Đây là những từ khóa hoặc cụm từ bạn đang tìm kiếm.

  • Commands - Hành động bạn muốn thực hiện trên tập hợp kết quả như định dạng kết quả hoặc đếm chúng.

  • Functions- Các phép tính bạn sẽ áp dụng vào kết quả là gì. Như Tổng, Trung bình, v.v.

  • Clauses - Cách nhóm hoặc đổi tên các trường trong tập kết quả.

Hãy để chúng tôi thảo luận về tất cả các thành phần với sự trợ giúp của hình ảnh trong phần bên dưới -

Cụm từ tìm kiếm

Đây là những thuật ngữ bạn đề cập trong thanh tìm kiếm để lấy các bản ghi cụ thể từ tập dữ liệu đáp ứng tiêu chí tìm kiếm. Trong ví dụ dưới đây, chúng tôi đang tìm kiếm các bản ghi có chứa hai cụm từ được đánh dấu.

Lệnh

Bạn có thể sử dụng nhiều lệnh dựng sẵn mà SPL cung cấp để đơn giản hóa quá trình phân tích dữ liệu trong tập kết quả. Trong ví dụ dưới đây, chúng tôi sử dụng lệnh head để chỉ lọc ra 3 kết quả hàng đầu từ thao tác tìm kiếm.

Chức năng

Cùng với các lệnh, Splunk cũng cung cấp nhiều hàm tích hợp có thể lấy đầu vào từ một trường đang được phân tích và đưa ra kết quả sau khi áp dụng các tính toán trên trường đó. Trong ví dụ dưới đây, chúng tôi sử dụngStats avg() hàm tính giá trị trung bình của trường số được lấy làm đầu vào.

Điều khoản

Khi chúng tôi muốn nhận kết quả được nhóm theo một số trường cụ thể hoặc chúng tôi muốn đổi tên một trường trong đầu ra, chúng tôi sử dụng group bymệnh đề và mệnh đề as tương ứng. Trong ví dụ dưới đây, chúng tôi nhận được kích thước trung bình của byte của mỗi tệp có trongweb_applicationnhật ký. Như bạn có thể thấy, kết quả hiển thị tên của từng tệp cũng như số byte trung bình cho mỗi tệp.