Splunk简单搜索教程.docx

1、Splunk简单搜索教程Splunk搜索教程什么是Splunk？Splunk可以从应用程序、服务器或网络设备及其他IT基础设备中搜索IT数据，是一款功能强大且灵活的搜索分析引擎。它可以帮助您在单点实现实时搜寻、故障排查、监测、警示及报告IT基础设备上的所有IT数据。Splunk用户应用程序支持人员利用Splunk对应用环境进行端对端搜索及补救，并对整个服务创建警报和仪表板来主动监测服务性能、可用性及业务度量。应用支持人员根据各自职责分配给当前用户的角色隔离数据访问，并在不影响安全性的情况下支持应用程序开发人员和第一等级人员从生产日志上获取其所需的信息。Splunk是一款多功能的搜索引擎，用途广

2、泛，适合不同类型的用户。系统管理员、网络工程师、安全分析师、软件开发人员、服务台及应用支持人员甚至经理、副总裁和首席信息官都使用Splunk帮助他们更出色更快速地完成工作。系统管理员和IT人员可使用Splunk检查服务器问题，了解其配置及监测用户活动。之后他们可将搜索结果转变成预警，警报服务器性能阈值、关键性系统错误及负载。高级网络工程师可使用Splunk排查升级问题，识别导致常规问题的事件及模式，如配置错误的路由器、邻居变化等，并将事件的搜索结果变成预警。安全分析人员和事故应急小组可以使用Splunk审查标记用户的活动，并获取敏感数据、自动监测已知的不良事件，同时通过复杂关系搜索找出已知的风

3、险模型，如强力攻击、数据泄漏甚至应用程序级别的欺诈。所有决策管理层可使用Splunk构建报告和仪表板来检测并汇总其IT基础构建和业务的健康状况、性能、活动及容量。Splunk支持的平台Splunk几乎可以在所有的计算平台上运行，但本教程重点介绍Windows和Mac OS X版本的Splunk。当然，无论您选择在何种平台上运行Splunk，您依然能够从“启动Splunk”这一节开始学习本教程。Splunk是一款安装在您本地电脑上的软件，您需要通过Web浏览器访问Splunk。Splunk支持大部分版本的火狐、IE浏览器和Safari浏览器。虽然Splunk是一款高性能的应用软件，但在本教程中，

4、您仅需一台独立的至少带以下配置的Windows机或Mac机：平台最低硬件容量支持非Windows平台1x1.4 GHz CPU，1 GB内存Windows平台奔腾4或相当于2Ghz的CPU，2GB内存选择合适的licenseSplunk支持企业许可证或自由许可证。当您第一次下载Splunk时，您将获得一张有效期为60天的企业试行版许可证。此试行版许可证可允许每天500MB的索引量并具备企业版的所有功能。安装Splunk后，您可以使用企业试行版许可证运行Splunk直至该许可证过期。过期后您可以选择终身免费的许可证（Splunk软件自带）或购买企业版许可证。当您启动Splunk时，您将在主机上启

5、动两个进程，splunkd和splunkweb：Splunkd是一个分布式C/C+服务器。它可以访问、处理并索引IT高速数据流，并处理搜索要求。Splunkweb是一个Python型应用服务器。您可以使用其提供的Splunk网页接口，搜索定位您的IT数据并管理您的Splunk部署。打开Splunk网页Splunk的界面在Web服务器上运行，启动后，Splunk将显示Splunk网页界面的地址。打开浏览器转到该地址。Splunk网站默认在安装有Splunk主机上的端口8000上运行。如果您正在本地电脑上运行Splunk，则访问Splunk网站的URL为http:/localhost:8000。如

6、果您使用的是企业版的许可证，则第一次启动Splunk时，您将进入此登录界面。使用默认的值登录：如果您使用的是免费的许可证，您可以直接使用Splunk，不需要验证。在此情况下，当您启动Splunk时，此登录界面不会显示。您将直接进入运行应用程序界面或您的账户默认的应用程序界面。当您第一次登录Splunk，您将看到此运行应用程序界面。此应用界面将帮助您开始使用Splunk。在您开始使用Splunk之前，您需要先输入一些数据。欢迎标签含以下快速链接： 添加数据：通过此链接，您将进入数据输入定义界面。 搜索：通过此链接，您将进入Splunk的搜索界面，可以在此界面上搜索数据。使用右上角的定位菜单，可访

7、问您Splunk服务器上的任何应用程序及配置页面。Splunk的每一页面都有该菜单，但每页面上菜单的内容不尽相同。当您学完这节之后，您可以进入本教程的下一节，学习如何在Splunk服务器中添加数据。在Splunk中添加数据登录Splunk后，您将进入运行应用程序界面。如果您登录后未看到此视图，请从应用程序菜单中选择运行应用程序。1. 在运行应用程序界面点击添加数据。将打开管理员数据输入页面。 在Mac OS X平台上，此视图将显示4种输入类型。 在Windows平台上，此视图将显示更多的输入类型。2. 在活动栏下的文件和目录输入处点击添加新数据。点击后将显示管理员数据输入文件和目录添加新数据视

8、图。您可以在此界面上传示例数据文件。一般来说，您只需上传示例数据文件，Splunk将执行剩下的操作，不需做任何改动。为了更好地学习本教程，您还需编辑一些属性。3. 在事件源选项下，选择上传本地文件并浏览您刚上传的示例数据文件。此“源”将显示事件的来源。如果您在文件和目录下监测数据，则此“源”为文件或目录的路径名。如果此“源”来自网络，则此源为协议和端口号，如UDP:514。4. 在主机和主机设置下选择正则路径。一旦选择正则路径，Splunk将使用正则表达式来匹配源文件（您先前浏览的文件）的部分路径名来设置数据的自定义主机值。5. 在正则表达式下复制粘贴以下内容：Sampledata.zip:.

9、/(/+)/一个事件的主机值一般为主机名、IP地址或事件源网络主机的完全合格域名。6.将源类型的值默认为“自动”。事件的源类型为数据的类型，一般是以数据的格式为基础。源类型的例子包括组合访问或Cisco系统日志。此分类可能使您在多个源和主机上搜索同一类型的数据。7. 在索引选项下将目标索引保留为默认。8. 点击保存。由于此文件为一次性上传文件，您在数据输入文件&目录视图上不会看到示例数据。Splunk将在处理完数据并将事件编入索引后移除文件。移除完成后，Splunk将显示一条信息提示文件上传成功。进入本教程下一节前，请在搜索应用程序界面查看您已上传的数据。搜索应用程序本节假设您已经向鲜花礼品网

10、店添加了数据。如果您还未添加数据，请在学习本节前先学习如何添加数据。您的Splunk有数据后，便可以开始搜索了。此节将向您介绍搜索应用程序。Splunk的默认界面为数据搜索与分析界面。如果您已经熟悉搜索界面，您可以跳过此部分开始搜索数据。您现在是网店鲜花礼品网店客户支持小组的一员。今天是您第一天上班。您想更加了解此店。您想了解以下情况： 这个店卖什么？每一件货品的价钱是多少？ 每天有多少人访问此网站？今天有多少人买了东西？ 每天最畅销的货品是什么？找到搜索应用程序您可以在Splunk的任何位置访问搜索应用程序。如果您刚上传示例数据文件，您将进入输入数据的文件&目录页面。要从此界面访问应用程序界

11、面，点击页面左上角的返回搜索链接：要从其他的应用程序界面或视图访问搜索应用程序界面，使用右上角的应用程序菜单选择搜索应用程序选项：摘要仪表板搜索应用程序的摘要仪表板显示您刚上传至此Splunk服务器上的数据信息，并为您提供数据搜索方式。此仪表板上显示的度量是由您访问和再装入此页面时幕后已保存的搜索生成。搜索应用包含不同的仪表板和视图。目前您只需了解以下两种： 摘要，您目前所在位置 搜索，您进行搜索的位置使用搜索定位菜单定位并访问此应用程序的不同视图。当您点击链接时，Splunk将把您带入所链接仪表板。如果您正在访问该仪表板，请刷新此页。搜索应用程序用户界面的其他内容： 搜索与报告：列出所有您已

12、经保存的搜索和报告。 搜索栏及时间范围选择：您可以输入您要搜索的内容，并选择时间范围来检索事件。 全球摘要界面：此界面显示您的事件数据索引的度量，包括您Splunk索引中的事件总数，以及最早和最新的索引事件的时间信息。此界面还将显示最近更新的事件（或您最近重新载入此仪表板的时间）。 所有索引数据界面：此界面显示您plunk服务器上的主要数据源、数据源类型及主机。如果您使用的是新安装的Splunk服务器，就只能看到您刚上传的示例数据文件。由于该文件是一次性上传文件，因此数据并不会变化。当添加更多的数据时，此仪表板上将显示更多的信息。如果您所添加数据的来源为非静止（如某程序编写的日志文件），则摘要

13、页面上显示的数目将根据数据源而更改。如果您使用的Splunk服务器是企业用共享或预安装的服务器，则此仪表板上将可能显示更多的信息。o 开始搜索在摘要仪表板仔细查看所有索引数据界面您可以在Apache Web服务器日志和mySQL数据库日志查看您刚上传的鲜花礼品店数据。如果您熟悉Apache Web服务器日志，您可能可以识别。此源类型的所有数据都将告诉您访问鲜花礼品店网站的访客信息。在Splunk中搜索的互动性非常好。尽管摘要仪表板只有一个搜索栏，但您还不需要输入任何内容。所有索引数据界面所列的每一数据源、数据类型及主机都有链接。您仅需打开这些链接即可开始搜索。2.在数据源栏，点击access_

14、combined_wcookie。将把您带入搜索仪表板，仪表板上将进行搜索并显示搜索结果：此视图包含很多内容，让我们在继续搜索前先来看一下这些内容。o Splunk停止搜索？如果您运行搜索的Splunk上载有的数据比本教程的示例数据更多，搜索时间就可能会更长。如果搜索时间超过30秒，Splunk将自动停止搜索。如果弹出搜索停止提示信息，点击继续搜索。更多信息，请参阅管理手册的自动停止搜索部分。o 搜索仪表板包含的内容您应该已经熟悉搜索栏及时间范围选择，摘要仪表板上也有这些内容。但搜索仪表板上还包含其他内容，如事件记录、时间轴、字段菜单及检索到的事件列表或搜索结果。 匹配及扫描事件记录：在搜索中

15、，Splunk在检索时将显示两组事件记录：一组为匹配事件记录，另一组为已扫描事件记录。搜索完成后，时间轴上方的记录显示的是匹配事件的总数。时间轴下方事件列表上方的记录显示您所选时间范围内的时间数目。我们稍后可以看到，当向下钻取事件时，此数目会发生变化。 事件的时间轴：时间轴是每一时间点出现的时间数目的直观表示。当时间轴随着搜索结果不断更新时，您可能会注意到有条状图案。每一条状图案的高度表示时间记录。时间轴的峰值和谷值可表示活动高峰期或服务器停机。因此，此时间轴可有效用于强调时间模式或调查各事件活动的高峰期可低谷期。时间轴选项位于时间轴上方。您可以放大、缩小或更改图表的大小。 字段菜单：前面我们

16、提过在您将数据编入索引时，Splunk可自动按名称和值的格式识别并生成数据信息，我们把这称作是字段。当您进行搜索时，Splunk将把其从字段菜单上识别的所有字段列在搜索结果旁边。您可以选择其他字段来显示您搜索的事件。所选字段都已被设置为搜索结果可见格式。将默认显示主机、源及源类型。其它字段是Splunk从您的搜索结果中抽取的。 事件查看器：事件查看器将显示Splunk搜索到的与您的搜索相匹配的事件。事件查看器位于时间轴下方。事件默认显示为列表，您也可以用表格查看。当您选择按表格形式查看事件时，表格只显示已选字段。学完这节后，您可以进入下一节学习如何开始搜索鲜花店的情况。o 开始搜索本教程将告诉

17、您如何通过搜索界面轻松简单地完成搜索。如果对搜索界面不甚熟悉，开始操作之前您可以返回到搜索应用教程。关于本教程，这是您与顾客支持小组一起为鲜花礼品网店工作的第一天。假设您才刚刚开始了解网店的网络访问日志，这时您接到顾客的一通电话，向您抱怨在您网点买礼物给女朋友时遇到的麻烦，说他在点击完成交易时，不断地收到交易错误信息。他向您提供了他的IP地址10.2.1.44。o 关键词的TypeheadSplunk中的所有数据都是可被搜索到的。您无需了解您数据的内容，因为在Splunk中进行搜索没有任何格式限制，您只需要在搜索栏中直接输入关键词，然后按下回车键（或点击搜索栏右端的绿色箭头）。在前一节中，点击

18、网络访问资源类型（access_combined_wcookie），您可以在Summary仪表板开始进行搜索。进行相同的搜索以找到该顾客在鲜花礼品网店最近的访问历史。1. 在搜索栏中输入该顾客的IP地址。sourcetype=access_combined_wcookie 10.2.1.44当您在搜索栏中输入的同时，将弹出Splunk“搜索助手”。新截图:圈出IP地址。搜索助手可显示您的“typehead”或“上下文匹配结果”以及您在搜索栏中输入关键词的搜索结果。这些匹配结果是根据您输入的数据生成的。匹配条目之下的上下文匹配结果将根据您所输入的内容更新，因为更改输入内容可能会出现其他搜索结果。

19、搜索助手也可显示就所搜索的内容得到的匹配条目的数目，使您对Splunk将返回的搜索结果数量有个大致了解。若在您的数据中未能发现任何条目或短语，则搜索助手将不会列出任何有关结果。您可看到匹配条目中所列的顾客IP地址，但是否所有的数据都为正确的呢？o 使用CIDR时应注意的事项搜索助手可识别您所键入的为IP地址，因此建议您使用与您的搜索相匹配的Splunk自动CIDR（无类别域际路由选择）子网，以便您确定IP地址的子网。您仅仅只是在搜索一个唯一的IP地址，无需有其他顾虑。现在，忽略上下文帮助后面右面板上的所有内容。若您开始学习搜索语言，搜索助手还有其他更多功能，这些将在下文中提到。另外，若您不愿搜

20、索助手自动打开，请点击“关闭自动打开”，并通过点击搜索栏下方的绿色箭头关闭窗口。o 更多关键字搜索2. 如果您尚不清楚IP地址，可搜索IP地址。Splunk可检索鲜花礼品网店顾客的访问记录。新截图：搜索栏所输入内容的标注。每次搜索时，Splunk均将在结果中对您在搜索栏中输入的内容标上荧光色。3. 快速浏览搜索结果。您应该可辨认出事件中所有与网店相关的关键字或短语（如鲜花、产品、购买等）。新截图：与上图相同，当所进行标注的是“鲜花”、“产品”和“购买”。顾客之前提到他是在购买礼物的过程中遇到问题的，让我们试试看键入“购买”可得到的结果。4. 在搜索栏中键入购买：sourcetype=acces

21、s_combined_wcookie 10.2.1.44 purchase当您搜索关键词时，不用区分大小写，Splunk将检索事件数据原始文本中所有含有这些关键词的事件。在Splunk所检索的所有结果均为可显示顾客每次在网店上试着购买东西的事件。结果显示，该顾客在刚才的数个小时内一直在尝试购买。使用布尔运算符若您熟悉Apache服务器日志，则在组合访问格式中，您将发现这些事件大部分均有“200”的HTTP状态或“成功”。您现在对这些事件不感兴趣，因为顾客正在向您反映问题。5. 使用非布尔运算符可迅速移除所有成功请求页面。键入：sourcetype=access_* 10.2.1.44 purc

22、hase NOT 200您发现顾客出现了HTTP服务器（503）和客户（404）错误。新截图但是，该顾客特别提到服务器错误，因此您想快速排除无关事件。使用您的搜索结果，也可以快速添加布尔子句，并与您的搜索互动。6. 在搜索结果中用鼠标滑动，例如“404”，并按下ALT键。这将对搜索结果中带有“非404”字符串的结果更新，并过滤所有含有该条目的事件。新截图快速浏览更多的搜索结果。您注意到一些其他无关的状态代码（301和302）。现在，您可以完全肯定您只是在搜索503s，您也想知道顾客总共看到错误提示多少次。7. 更改您的搜索，读取：sourcetype=access_combined_wcook

23、ie 10.2.1.44 purchase 503从上述结果中，您发现每次客户都尝试完成购买，但总是收到错误提示。现在您可以肯定客户的问题，接着您就可着手寻找问题根源。o 关于使用布尔运算符进行搜索的更多信息Splunk支持布尔运算符：和、或和非和运算符总是在搜索条目间使用所以第四步的搜索和下述相同：sourcetype=access_* AND 10.2.1.44 AND purchase NOT 200当搜索中包含有布尔表达式时，运算符须全部大写。使用括号将有关表达式组合起来，以便进行更复杂的搜索。计算布尔表达式时，Splunk将从最里面的括号开始运算，接着运算括号外面的下一个值对。当括号

24、内的所有运算符都运行完成，Splunk将先计算或子句，然后计算和或者非子句。Splunk可让您自行荧光划线和选择搜索结果中的片段，以快速增加、移除和排除片段，同时，键盘和鼠标可交互使用：增加更多的搜索条目，突出显示并点击搜索结果中您所想要的词或短语。去除搜索条目，在搜索结果中点击或突出显示该词或短语。从搜索结果中排除事件，选中您所不愿让Splunk匹配的条目。当您准备继续时，请看下一节内容，学习如何在Slunk中交互进行调查与调试。o 使用时间轴本节假设您对通过简单搜索来检索事件很满意。如果您不确定，请回到上一节，即使用关键词、通配符和布尔运算符进行搜索以确定错误。现在您可以使用时间轴来进一步

25、调查、找出服务器错误的根源。假设之前的步骤，您正在为鲜花礼品网店顾客（10.2.1.44）解决问题，该顾客称在给他女朋友买礼物时遇到困难。您已经确认确实存在此问题，现在您想找到导致问题的原因。从您发现顾客无法购买的那次搜索开始继续进行下面的步骤。1. 搜索：sourcetype=access_combined_wcookie 10.2.1.44 purchase 503上节中，您的确只是在关注该仪表板上仪表事件查看器所列的搜索结果。现在，让我们看一下时间轴。新截图时间轴上的各柱状体代表搜索的匹配事件发生的时间。2. 滑动鼠标，选中其中一个柱状体。将弹出工具提示，并显示时间数目和该柱距的原始时间

26、戳，1个柱状体=1小时。（在截图上标注）3. 双击其中的一个柱状体。这样您的搜索将仅被限制于您所选定的1小时内所发生的事件。注意，该步骤将覆盖时间范围控件，现在将显示“自定义时间”。（您将在下文中了解到更多关于时间范围的内容）另外，现在每个柱状体代表1分钟（1柱=1分钟）。在该时间范围内还有许多事件，让我们作进一步分析。4. 双击其他柱状体。同样，在一分钟的时间间隔中，更新您搜索的检索事件。现在一个柱状体代表每秒钟内的事件数目。现在，您想扩展搜索，以确认在这分钟内是否还有其他事件发生。5. 在不改变时间范围的前提下，请在搜索栏中替换您之前的搜索。*Splunk支持使用星号（*）通配符来搜索“所

27、有”或根据关键词的部分进行模糊检索事件。该搜索可告诉Splunk您希望看到在这段时间内发生的所有事件：此次搜索可将所有日志（而不仅仅只是网络服务器日志）上的事件返回到您的服务器上。浏览搜索结果，您会看到其他用户的网络活动部分可能是来自不同的主机。但是，您也会看到一组mySQL（我的结构化查询语言）数据库错误。这些错误导致了顾客购买失败。现在，您可以将此发现报告给IT操作小组。o 时间轴的其他功能点击选择上述的所有时间轴，可再次显示所有时间，。点击放大，可锁定与您的搜索相匹配匹配的选定事件范围。点击缩小，可扩展时间轴，看到更多事件。当您准备继续时，请看下一节内容，学习如何搜索不同的时间范围。o

28、改变时间范围本节假设您已熟悉自适应搜索的运行以及时间轴的使用。若有您还不太熟悉，请回顾前面几个关于时间轴的搜索和使用的内容。本节将为您展示缩小过去时间范围内的调查搜索范围。若您知道事件发生的时间，就把时间作为搜索线索，以便更快得找出搜索结果。o 改变搜索时间范围这是您与客户支持小组一起为鲜花礼品网店工作的第二天。您径直走到您的位置上。在给自己泡杯咖啡前，您想快速搜索看看最近是否有值得关注的事情。1. 回到搜索仪表板，输入以下要搜索的内容，但不要运行（不要按回车键）error OR failed OR severe OR (sourcetype=access_* (404 OR 500 OR 5

29、03)该搜索任务在所有日志中寻找任何含关键字为”错误”, “失败”, 或“严重的”的日志。另外，如日志为Apache日志，则搜索“404”、“500”或“503”等HTTP错误代码。输入“access_combined_wcookie”很麻烦，因而在教程剩下部分，使用带通配符简称“access_*”。如您的Apache服务器日志有不同的源类型，包括共同访问和综合访问，则可保证完全匹配。02. 下拉时间范围选项控件，将时间范围改成最近24小时内。新截图关闭选择框后，Splunk对您的所有数据进行搜索。搜索的系统默认时间范围为“全部”。搜索15分钟前或昨晚或上周发生的事件时，如果您要搜索大量数据，

30、您会发现检索到您想要的数据需要较长的时间。3. 从自动运行搜索的表格中选择时间范围。若不选择，就直接按回车键.该搜索可以找到与所有日志一般错误相关的事件，而不只是Web访问日志。在过去24小时内似乎有许多活动。您或许会为自己没有先泡一杯咖啡而后悔。滚动浏览搜索结果在搜索结果中有较多mySQL数据库错误和部分404错误。您只能让实习生给您泡一杯咖啡，因为您得和网络小组讨论404错误或以及与IT操作小组讨论频发的服务器错误。o 时间范围选项详情Splunk同样为用户提供用户定义时间范围的选项，用于搜索或选择搜索将要发生的一系列连续事件。实时功能：可准时搜索到一系列将要发生的实际事件数据示例数据是一

31、次性上传的，实时搜索运行不会立即显示结果。后面我们再来探讨这个选项。查看更多实时搜索资料，了解如何在“实时搜索和报告”中运用实时搜索功能。自定义时间：弹出一个新窗口，您可以在里面根据特定的数据、相关数据、实时窗口或使用搜索语言设置自己想要的时间范围。在“改变您的搜索时间范围”中查看更多用户定义时间范围资料。到目前为止，您已经进行了几个与事件原始文本匹配的简单搜索。在Splunk中您对自己的操作了解不深。当您准备继续使用时，请看下一节内容，学习字段的相关知识以及利用字段进行搜索的方法。o 使用字段进行搜索只需使用关键字和时间范围、运行特定的搜索，您便可从运行自适应搜索中获得许多数据。但是这样您不能充分利用到Splunk更高级的搜索功能以及在不知道字段是什么和如何使用字段的情况下报告特点。本教程该部分将为您介绍：默认字段和Splunk自动选取的字段使用字段菜单和字段控件，寻找有用的字段使用字段进行搜索现在让我们回到鲜花和礼品网店上。这是您作为客户支持工作的第二天。您花了一个早晨调查一些一般事项并向其他小组报告您发现的问题。您了解这家网店及其客户，对此感