Splunk语法小记

Splunk 是面向云的日志搜索引擎。使用 Splunk 可收集、索引和利用所有应用程序、服务器和设备（物理、虚拟和云中）生成的log。

功能特性

1. 多平台支持
2. 从任意源索引任意数据
3. 从远程系统转发数据
4. 关联复杂事件
5. 专为大型数据构建
6. 在整个数据中心扩展
7. 提供角色型的安全性

一、安装

不会，略过，详情可以看这里

二、语法

搜索语法有点类似正则表达式，与天眼稍有不同。
常规的搜索语法包括:

全部搜索：
index=*
搜索框直接输入"搜索词":
index=* "10.10.10.1"
使用source指定数据来源：
index=windows source="log"
使用sourcetype指定搜索类型：
index=windows sourcetype="*dns*"

• 使用OR,AND,NOT连接符可做逻辑运算
• *作为通配符可以作为任意数据
• 使用|可以作为管理命令，输出可视化列表

获取最多访问的10个产品id：
source="Sampledata.zip:./apache*" | top 10 product_id
获取调查sysmon的进程列表：
index=* sourcetype="*sysmon*" | table_time,host,src_ip,src_port,dest_ip,dest_port,SourceImage

Splunk感觉非常的牛逼，可以导入各种平台的数据一起检索，不愧为大数据（误）

参考链接：
Splunk常见分析场景参考1
初学Splunk
splunk 搜索语法
Splunk 搜索的力量