splunk常用命令.docx
《splunk常用命令.docx》由会员分享,可在线阅读,更多相关《splunk常用命令.docx(12页珍藏版)》请在冰豆网上搜索。
splunk常用命令
Splunk常用命令简易说明
1数据示例
假如index里有两个字段包括以下结果,端口号及响应时间
Inter1
responseTime
Inter2
6
Inter3
5
Inter4
7
Inter5
8
Inter6
4
Inter7
9
Inter8
11
Inter9
4
Inter10
7
Inter11
3
Inter12
15
Inter13
9
以下的命令解释都是以以上数据为例子
2Stats,chart,timechart统计类
stats、chart和timechart命令(及其相关的命令eventstats和streamstats)设计为与统计函数结合使⽤。
可⽤统计函数
包括:
●计数、⾮重复计数、总和countdcsum
●平均值、中值、模式avgmedianmode
●最⼩值、最⼤值、范围、百分⽐minmaxrangeperc
●标准偏差、⽅差stdevstdevpvarvarp
●最早出现、最晚出现firstlast
函数
描述
例子
avg(X)
返回多个事件中同一个字段(字段类型为数字)的平均值
Index=aaa|statsavg(responseTime)
取平均值为7.33
c(X)|count(X)
统计同一个字段的个数
Index=aaa|statscount(responseTime)
计数13
dc(X)|distinct_count(X)
统计同一个字段的个数(去重)
Index=aaa|statsdc(responseTime)
去重后计算字段个数为8
list(X)
ThisfunctionreturnsthelistofallvaluesofthefieldXasamulti-valueentry.Theorderofthevaluesreflectstheorderofinputevents.
Index=aaa|statslist(responseTime)
返回完整的列表
6
5
7
8
4
9
11
4
7
3
15
9
max(X)
返回字段的最大值.
Index=aaa|statsmax(responseTime)
返回最大值15
min(X)
返回字段的最小值.
Index=aaa|statsmin(responseTime)
返回最小值3
mode(X)
返回特定字段中出现频率最高的值
Index=aaa|statsmode(responseTime)
返回4出现频率最高
range(X)
返回字段中最大值与最小值之间的差
Index=aaa|statsrange(responseTime)
返回12,15-3
stdev(X)
取标准差
标准差
一组数据每个数分别减此组数据的平均数的差的平方,相加起来除此组数据个数,即标准差.平均数3则差计算公式:
[(1-3)^2+(2-3)^2+(3-3)^2+(4-3)^2+(5-3)^2]÷5
sum(X)
ThisfunctionreturnsthesumofthevaluesofthefieldX.
Index=aaa|statssum(responseTime)
求和为88
values(X)
ThisfunctionreturnsthelistofalldistinctvaluesofthefieldXasamulti-valueentry.Theorderofthevaluesislexicographical.
Index=aaa|statsvalues(responseTime)
返回列表,去重
3搜索结果处理及过滤
3.1table:
表格化呈现
描述
表格化
示例
index=kl|rexfield=_raw"(?
P\w*)\s+(?
P\d+)"|tableinterfceresponstime
3.2reverse翻转,逆序
描述
翻转,逆序
示例
index=kl|rexfield=_raw"(?
P\w*)\s+(?
P\d+)"|tableinterfceresponstime|reverse
3.3sort按某字段升降序
描述
按某字段升降序
示例
index=kl|rexfield=_raw"(?
P\w*)\s+(?
P\d+)"|tableinterfceresponstime|sort-responstime
3.4head取前N个结果
描述
取前N个结果
示例
index=kl|rexfield=_raw"(?
P\w*)\s+(?
P\d+)"|tableinterfceresponstime|sort-responstime|head5
3.5tail取后N个结果
描述
取后N个结果
示例
index=kl|rexfield=_raw"(?
P\w*)\s+(?
P\d+)"|tableinterfceresponstime|sort-responstime|tail5
3.6dedup去重
描述
去重
示例
index=kl|rexfield=_raw"(?
P\w*)\s+(?
P\d+)"|dedupresponstime|tableresponstime
3.7search搜索某字段里包括特定字符的结果
描述
搜索某字段里包括特定字符的结果
示例
index=kl|rexfield=_raw"(?
P\w*)\s+(?
P\d+)"|searchinterface=*inter1*
搜索端口里包括*inter1*的结果
3.8top,rare按某字段值出现频率排序
描述
按某字段值出现频率排序,TOP降序,RARE升序
示例
index=kl|rexfield=_raw"(?
P\w*)\s+(?
P\d+)"|toplimit=8responstime
index=kl|rexfield=_raw"(?
P\w*)\s+(?
P\d+)"|rarelimit=8responstime
4Eval非常重要的命
格式:
….|evalY=fun(x)
4.1逻辑判断
4.1.1isint(X),isnum(X),isstr(X),isbool(X)
判断类型是否为int、数字、字符串或布尔
4.1.2cidrmatch("X",Y)CIDR匹配
描述
判断一个IP地址是否属于某个CIDR子网,X是子网号,Y是字段(字段内容肯定得是IP才行)
必须和IF嵌套
示例
index="cmb_si_trans"|evaladdy=if(cidrmatch("183.60.0.0/16",source_ip),"yes","no")|tablesource_ipaddy|sort-addy
4.1.3searchmatch(X)在事件寻找特定字符串
描述
在事件寻找特定字符串,
示例
...|evaln=searchmatch("fooANDbar")作简单判断,是或否
|evalp1start=if(searchmatch("step1"),_time,null()) 如果包含“step1”,则返回这个事件中的_time,否则返回null
4.2字符串处理
4.2.1lower(X),upper(x)大小写转换
描述
大小写字母
示例
4.2.2ltrim,trim,rtrim字符削减
描述
修剪左边、右边或全字段中的特定字符
示例
...|evalx=ltrim("ZZZZabcZZ","Z")返回abcZZ
...|evalx=rtrim("ZZZZabcZZ","Z")返回ZZZZabc
...|evalx=trim("ZZZZabcZZ","Z")返回abc
4.2.3split(X,"Y")字段分离
描述
示例
sourcetype="cisco_esa"mailfrom=*|evalaccountname=split(mailfrom,"@")|evalfrom_domain=mvindex(accountname,-1)|evallocation=if(match(from_domain,"[^s]+.(com|net|org)"),"local","abroad")|statscountbylocation
4.2.4len(X)返回字段长度
4.3结构化
4.3.1Case
描述
case的字符串不能用正则匹配
示例
...|evaldescription=case(error==404,"Notfound",error==500,"InternalServerError",error==200,"OK")
4.3.2if(X,Y,Z)
描述
示例
...|evalerr=if(error==200,"OK","Error")
4.4时间运算
4.4.1strftime(X,Y)将UNIX时间还原成标准可读时间
描述
将UNIX时间还原成标准时间
示例
...|evaln=strftime(_time,"%H:
%M")
%p%I:
%M%Y/%m/%d%A
index=sufe
|evalnow=strftime(now(),"%p%I:
%M%Y/%m/%d%A")
|tablenow
4.4.2time()返回事件被eval处理时的时间
描述
返回事件被eval处理时的时间,微秒-6次方
示例
index=sufe|evaltime=_time|evalnow=time()|table_timetimenow
升级会员 