1、splunk常用命令Splunk常用命令简易说明1数据示例假如index里有两个字段包括以下结果, 端口号及响应时间Inter1responseTimeInter26Inter35Inter47Inter58Inter64Inter79Inter811Inter94Inter107Inter113Inter1215Inter139以下的命令解释都是以以上数据为例子2Stats,chart,timechart统计类stats、chart 和 timechart 命令(及其相关的命令 eventstats 和 streamstats)设计为与统计函数结合使。可统计函数包括:计数、重复计数、总和 c
2、ount dc sum平均值、中值、模式 avg median mode最值、最值、范围、百分 min max range perc标准偏差、差 stdev stdevp var varp最早出现、最晚出现 first last函数描述例子avg(X)返回多个事件中同一个字段(字段类型为数字)的平均值Index=aaa|stats avg(responseTime)取平均值为7.33c(X) | count(X)统计同一个字段的个数Index=aaa|stats count(responseTime)计数13dc(X) | distinct_count(X)统计同一个字段的个数(去重)Inde
3、x=aaa|stats dc(responseTime)去重后计算字段个数为8list(X)This function returns the list of all values of the field X as a multi-value entry. The order of the values reflects the order of input events.Index=aaa|stats list(responseTime)返回完整的列表65784911473159max(X)返回字段的最大值.Index=aaa|stats max(responseTime)返回最大值15m
4、in(X)返回字段的最小值.Index=aaa|stats min(responseTime)返回最小值3mode(X)返回特定字段中出现频率最高的值Index=aaa|stats mode(responseTime)返回4 出现频率最高range(X)返回字段中最大值与最小值之间的差Index=aaa|stats range(responseTime)返回12 , 15-3stdev(X)取标准差标准差 一组数据每个数分别减此组数据的平均数的差的平方,相加起来除此组数据个数,即标准差.平均数3则差计算公式:(1-3) 2+(2-3) 2+(3-3) 2+(4-3) 2+(5-3) 2 5su
5、m(X)This function returns the sum of the values of the field X.Index=aaa|stats sum(responseTime)求和为88values(X)This function returns the list of all distinct values of the field X as a multi-value entry. The order of the values is lexicographical.Index=aaa|stats values(responseTime)返回列表 ,去重3搜索结果处理及过滤
6、3.1table:表格化呈现 描述表格化示例index=kl | rex field=_raw (?Pw*)s+(?Pd+) | table interfce responstime3.2reverse翻转,逆序描述翻转,逆序示例index=kl | rex field=_raw (?Pw*)s+(?Pd+) | table interfce responstime | reverse3.3sort 按某字段升降序描述按某字段升降序示例index=kl | rex field=_raw (?Pw*)s+(?Pd+) | table interfce responstime | sort - r
7、esponstime3.4head取前N个结果 描述取前N个结果示例index=kl | rex field=_raw (?Pw*)s+(?Pd+) | table interfce responstime | sort -responstime | head 5 3.5tail取后N个结果 描述取后N个结果示例index=kl | rex field=_raw (?Pw*)s+(?Pd+) | table interfce responstime | sort -responstime| tail 5 3.6dedup 去重描述去重示例index=kl | rex field=_raw (?
8、Pw*)s+(?Pd+) | dedup responstime | table responstime 3.7search搜索某字段里包括特定字符的结果描述搜索某字段里包括特定字符的结果示例index=kl | rex field=_raw (?Pw*)s+(?Pd+) | search interface=*inter1*搜索端口里包括*inter1*的结果3.8top, rare按某字段值出现频率排序描述按某字段值出现频率排序, TOP降序, RARE升序示例index=kl | rex field=_raw (?Pw*)s+(?Pd+) | top limit=8 responstim
9、eindex=kl | rex field=_raw (?Pw*)s+(?Pd+) | rare limit=8 responstime4Eval非常重要的命格式:. | eval Y=fun(x)4.1逻辑判断4.1.1isint(X),isnum(X), isstr(X), isbool(X)判断类型是否为int、数字、字符串或布尔4.1.2cidrmatch(X,Y) CIDR匹配描述判断一个IP地址是否属于某个CIDR子网, X是子网号,Y是字段(字段内容肯定得是IP才行)必须和IF嵌套示例index=cmb_si_trans | eval addy=if(cidrmatch(183.
10、60.0.0/16,source_ip), yes,no) | table source_ip addy | sort -addy4.1.3searchmatch(X) 在事件寻找特定字符串描述在事件寻找特定字符串,示例. | eval n=searchmatch(foo AND bar) 作简单判断,是或否| eval p1start = if(searchmatch(step1),_time,null() 如果包含“step1”,则返回这个事件中的_time,否则返回null4.2字符串处理4.2.1lower(X),upper(x) 大小写转换描述大小写字母示例4.2.2ltrim,tr
11、im,rtrim 字符削减描述修剪左边、右边或全字段中的特定字符示例. | eval x=ltrim( ZZZZabcZZ , Z) 返回 abcZZ. | eval x=rtrim( ZZZZabcZZ , Z) 返回 ZZZZabc. | eval x=trim( ZZZZabcZZ , Z) 返回 abc4.2.3split(X,Y) 字段分离描述示例sourcetype=cisco_esa mailfrom=* | eval accountname=split(mailfrom,) | eval from_domain=mvindex(accountname,-1) | eval lo
12、cation=if(match(from_domain, s+.(com|net|org), local,abroad) | stats count by location4.2.4len(X) 返回字段长度4.3结构化4.3.1Case描述case的字符串不能用正则匹配示例. | eval description=case(error = 404, Not found, error = 500, Internal Server Error, error = 200, OK)4.3.2if(X,Y,Z)描述示例. | eval err=if(error = 200, OK, Error)4.4时间运算4.4.1strftime(X,Y) 将UNIX时间还原成标准可读时间描述将UNIX时间还原成标准时间示例. | eval n=strftime(_time, %H:%M)%p %I:%M %Y/%m/%d %Aindex=sufe | eval now=strftime(now(),%p %I:%M %Y/%m/%d %A) |table now4.4.2time() 返回事件被eval处理时的时间描述返回事件被eval处理时的时间,微秒-6次方示例index=sufe |eval time=_time | eval now=time() |table _time time now
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1
升级会员 