splunk搜索手册(中文)_splunk模糊查询

splunk

需积分: 49 1.9k 浏览量更新于2023-05-26 评论 3 收藏 1.65MB PDF 举报

身份认证购VIP最低享 7 折!

领优惠券(最高得80元）

资源详情

资源评论

资源推荐

Splunk Enterprise 6.2.0

搜索手册搜索手册

生成时间：2014 年 12 月 1 日，下午 4:16

4
4
4
4
4
6
7
7
7
8
9
10
12
12
12
14
15
16
18
19
22
25
25
25
28
30
31
32
32
32
32
33
34
34
35
35
36
38
40
40
41
Table of Contents
简介简介
欢迎使用搜索手册欢迎使用搜索手册
使用使用 Splunk 搜索搜索
Splunk 搜索包含哪些内容搜索包含哪些内容
对正在运行的搜索执行操作对正在运行的搜索执行操作
设置搜索模式以调整搜索体验设置搜索模式以调整搜索体验
关于搜索助理关于搜索助理
搜索概述搜索概述
关于搜索关于搜索
关于搜索处理语言关于搜索处理语言
搜索处理语言语法搜索处理语言语法
编写更好的搜索编写更好的搜索
检索事件检索事件
关于检索事件关于检索事件
使用搜索命令使用搜索命令
使用字段检索事件使用字段检索事件
从索引和分布式搜索节点中检索事件从索引和分布式搜索节点中检索事件
分类和分组类似事件分类和分组类似事件
使用时间线调查事件使用时间线调查事件
对事件详细信息进行辅助搜索对事件详细信息进行辅助搜索
通过通过“模式模式”选型卡识别事件模式选型卡识别事件模式
指定时间范围指定时间范围
关于涉及时间的搜索关于涉及时间的搜索
选择要应用于搜索的时间范围选择要应用于搜索的时间范围
在搜索中指定时间调节器在搜索中指定时间调节器
在搜索中指定实时时间范围窗口在搜索中指定实时时间范围窗口
使用时间查找附近事件使用时间查找附近事件
创建统计性表格和图表可视化。创建统计性表格和图表可视化。
有关转换命令和搜索有关转换命令和搜索
创建基于时间的图表创建基于时间的图表
创建不（一定）基于时间的图表创建不（一定）基于时间的图表
直观显示高低字段值直观显示高低字段值
创建用于显示摘要统计信息的报表创建用于显示摘要统计信息的报表
在搜索结果中查找关联、统计相关性和差异在搜索结果中查找关联、统计相关性和差异
构建多数据系列图表构建多数据系列图表
比较多天中每小时的总和比较多天中每小时的总和
基于表格中的行或单元格信息运行辅助搜索基于表格中的行或单元格信息运行辅助搜索
在数据透视表中打开非转换搜索以创建表格和图表在数据透视表中打开非转换搜索以创建表格和图表
实时搜索和报表实时搜索和报表
关于实时搜索和报表关于实时搜索和报表
Splunk Web 中的实时搜索和报表中的实时搜索和报表

42
42
43
44
44
44
45
45
46
47
47
47
49
49
51
51
52
52
53
54
54
55
57
57
58
58
59
59
59
60
61
62
63
64
65
65
66
66
66
66
CLI 中的实时搜索和报表中的实时搜索和报表
实时搜索和报表的预期性能和已知限制实时搜索和报表的预期性能和已知限制
如何限制实时搜索的使用情况如何限制实时搜索的使用情况
评估和操作字段评估和操作字段
关于评估和操作字段关于评估和操作字段
使用使用 eval 命令和函数命令和函数
使用查找从查找表中添加字段使用查找从查找表中添加字段
使用搜索命令提取字段使用搜索命令提取字段
操作和评估多值字段操作和评估多值字段
计算统计信息计算统计信息
关于计算统计信息关于计算统计信息
使用使用 stats 命令和函数命令和函数
将将 stats 与与 eval 表达式和函数配合使用表达式和函数配合使用
将迷你图添加到搜索结果将迷你图添加到搜索结果
事件分组和相关性事件分组和相关性
关于事件分组和相关性关于事件分组和相关性
使用时间确定事件之间的关系使用时间确定事件之间的关系
关于子搜索关于子搜索
使用子搜索关联事件使用子搜索关联事件
更改子搜索结果的格式更改子搜索结果的格式
关于交易关于交易
确定事件并将其分组为交易确定事件并将其分组为交易
预测将来事件预测将来事件
关于关于 Splunk Enterprise 的预测分析的预测分析
更多搜索方法更多搜索方法
创建和使用搜索宏创建和使用搜索宏
编写自定义搜索命令编写自定义搜索命令
关于本章关于本章
搜索命令样式指南搜索命令样式指南
编写搜索命令编写搜索命令
将自定义命令添加到将自定义命令添加到 Splunk Enterprise
控制对自定义命令的访问控制对自定义命令的访问
自定义事件生成命令示例自定义事件生成命令示例
自定义搜索命令自定义搜索命令 shape
外部化搜索错误字符串外部化搜索错误字符串
外部化搜索错误外部化搜索错误
搜索示例和走查搜索示例和走查
本章包含哪些内容？本章包含哪些内容？
监视和告警监视和告警 Windows 磁盘使用情况磁盘使用情况
计算动态字段的大小计算动态字段的大小

简介简介

欢迎使用搜索手册欢迎使用搜索手册

该手册介绍 Splunk 搜索以及如何使用 Splunk 搜索处理语言。

如果您之前未使用过 Splunk Enterprise 和搜索，可以从“搜索教程”开始。搜索教程介绍搜索和报表应用，逐步指导您

添加数据、搜索数据、构建简单报表和仪表板。

可以开始使用 Splunk 搜索前，

将数据添加到 Splunk 实例。阅读《数据导入手册》中有关如何将数据导入 Splunk 的更多信息。

了解 Splunk Enterprise 中索引的工作方式。阅读《管理索引器手册》中有关 Splunk 如何处理数据的详细信

息。

了解字段和知识对象，如主机、来源类型和事件类型。参阅《知识管理器手册》。

如果您对组成 Splunk 搜索处理语言的搜索命令和参数目录感兴趣，请参阅《搜索参考手册》。

制作制作

PDF

如需要本手册的 PDF 版本，请单击本页左侧目录下方的红色链接将搜索手册下载为 PDF。即会为您动态生成手册的

PDF 版本，您可以将其保存或打印出来以便之后阅读。

使用使用 Splunk 搜索搜索

Splunk 搜索包含哪些内容搜索包含哪些内容

本主题介绍属于 Splunk 的搜索和报表应用一部分的“搜索”视图，此视图是您用于与数据交互的界面。

统一的搜索和报表体验还将更方便您创作和编辑报表。您可以参阅《报表手册》中的有关创建和编辑报表的更多信

息。

搜索仪表板搜索仪表板

在运行搜索之前，“搜索”仪表板将包括：

搜索栏。使用搜索栏可在 Splunk Web 中运行您的搜索。只需键入您的搜索字符串并按 Enter 键或单击时间范

围挑选器右侧的小望远镜图标。

时间范围挑选器。使用时间范围挑选器指定检索事件的时间段。时间范围挑选器提供了许多可供选择的预设时

间范围，但您也可以输入自定义时间范围。

如何搜索。此面板可将您链接到搜索教程和搜索手册，以帮助您了解搜索。

搜索内容。此面板会显示此 Splunk 实例上安装的您有权查看的数据的摘要。如果您单击数据摘要按钮，会打开

一个窗口，其中有数据的“主机”、“来源”、“来源类型”选项卡。

新搜索仪表板新搜索仪表板

运行新搜索后，您将转到新搜索仪表板。在此视图中，也可使用搜索栏和时间范围挑选器。仪表板更新后新增许多其

他元素，例如搜索操作按钮、搜索模式选择器、事件计数、任务状态栏以及“事件”、“统计”和“可视化”选项卡。

阅读以下主题了解新搜索仪表板的元素相关内容。

对正在运行的搜索执行操作

设置搜索模式以调整搜索体验

对正在运行的搜索执行操作对正在运行的搜索执行操作

Splunk 提供了一组控件，可用于管理“进行中”搜索并创建报表和仪表板。

控制搜索任务的进度控制搜索任务的进度

在启动搜索后，您可以在不离开“搜索”页面的情况下访问和管理与搜索任务有关的信息。一旦您的搜索处于运行中、

暂停或完成状态，即可单击任务并从中选择可用选项。

您可以：

编辑任务设置。选择此选项可打开“任务设置”对话框，可在此对话框中更改任务的读取权限、延长任务的使用

期限、获取任务的 URL（可利用此 URL 与其他人共享任务）或将任务的链接放入浏览器的书签栏。

将任务发送到后台运行。如果搜索任务的完成进度很慢，您想要在后台运行此任务，并同时处理其他 Splunk 活

动（包括新的搜索任务），则可以选择此选项。

检查任务。打开一个单独的窗口并通过搜索任务查看器显示搜索任务的信息和指标。您可以在搜索运行时或搜

索完成之后选择此操作。有关更多信息，请参阅《知识管理器》手册中的“使用搜索任务查看器查看搜索任务属

性”。

删除任务。使用此选项可删除当前处于运行中、暂停或完成状态的任务。删除任务后，仍可将搜索保存为报

表。

有关更多信息，请参阅《知识管理器手册》中的“关于任务和任务管理”。

更改搜索模式更改搜索模式

搜索模式可控制搜索体验。通过减少搜索模式返回的事件数据，可以将搜索模式设置为加快搜索的速度（

快速快速

模

式），或者可以将搜索模式设置为尽可能地多传回事件信息（

详细详细

模式）。在

智能智能

模式（默认设置）下，它会基于

您在运行的搜索类型自动切换搜索行为。

此内容将在下一个主题“设置搜索模式以调整搜索体验”中进行更详细的介绍。

保存结果保存结果

另存为菜单列出了用于将搜索结果另存为报表、仪表板面板、告警和事件类型的选项。

报表：将搜索保存为报表，稍后使用。通过在“报表”列表页面上查找报表并单击其名称，可以必要时在特殊基

础上再次运行报表。请阅读

报表手册报表手册

中有关如何“创建和编辑报表”的更多信息。

仪表板面板：使用此选项可根据搜索生成仪表板面板并将其添加到新的或现有仪表板中。参阅“仪表板和表

单”以及“关于仪表板编辑器”了解更多详细信息。这两个主题都在

仪表板和可视化仪表板和可视化

手册中。

告警：根据搜索定义告警。告警在后台运行保存的搜索（按计划或实时）。当搜索返回符合您在告警定义中所

设置条件的结果时，即会触发告警。有关更多信息，请阅读

告警手册告警手册

中的“关于告警”。

事件类型：将拥有共同特性的事件归为一类。如果搜索不包括管道符或子搜索，您可以使用此项将搜索保存为

事件类型。有关更多信息，请参阅

知识管理器知识管理器

手册中的“关于事件类型”和“在 Splunk Web 中定义和维护事件类

型”。

其他搜索操作其他搜索操作

位于任务搜索控件与搜索模式选择器之间的是三个按钮，分别用于共享、导出和打印搜索结果。

单击共享可共享任务。选择此按钮，任务的生命周期将延长至 7 天，读取权限将设置为“每个人”。

单击导出可导出结果。可以选择以 CSV、原始事件、XML 或 JSON 形式输出并指定要导出的结果数。

剩余67页未读，继续阅读

cuiboyin

粉丝: 2
资源: 4

会员权益专享

splunk搜索手册(中文)

评论0

会员权益专享

最新资源

splunk搜索手册(中文)

评论0

Splunk-8.0.0-搜索手册中文版.pdf

splunk forwarder 操作手册

splunk数据透视表手册(中文)

splunk搜索参考(中文)

splunk的level3的学习版本

Splunk Essentials(PACKT,2015)

Linux关于splunk采集程序的测试

splunk平台的’具体作用

splunk的schema on read是怎么实现的

有什么故障排除和日志分析的工具

平台操作日志如何实现

sophos reporting interface 用户指南

linux清理服务器日志

basn 分析nginx的access日志

有没有好用的 aws exporter

写一个关于snort的文献综述

基于PHP实现连锁酒店管理系统【优质毕业设计、课程设计项目】.zip

mqtt app 插件 App inventor

ASP+ACCESS网络招聘管理系统(源代码+论文+开题报告).zip

会员权益专享

最新资源