Splunk语法小记
Splunk 是面向云的日志搜索引擎。使用 Splunk 可收集、索引和利用所有应用程序、服务器和设备(物理、虚拟和云中)生成的log。
功能特性
- 多平台支持
- 从任意源索引任意数据
- 从远程系统转发数据
- 关联复杂事件
- 专为大型数据构建
- 在整个数据中心扩展
- 提供角色型的安全性
一、安装
不会,略过,详情可以看这里
二、语法
搜索语法有点类似正则表达式,与天眼稍有不同。
常规的搜索语法包括:
全部搜索:
index=*
搜索框直接输入"搜索词":
index=* "10.10.10.1"
使用source指定数据来源:
index=windows source="log"
使用sourcetype指定搜索类型:
index=windows sourcetype="*dns*"
- 使用OR,AND,NOT连接符可做逻辑运算
- *作为通配符可以作为任意数据
- 使用|可以作为管理命令,输出可视化列表
获取最多访问的10个产品id:
source="Sampledata.zip:./apache*" | top 10 product_id
获取调查sysmon的进程列表:
index=* sourcetype="*sysmon*" | table_time,host,src_ip,src_port,dest_ip,dest_port,SourceImage
Splunk感觉非常的牛逼,可以导入各种平台的数据一起检索,不愧为大数据(误)
上一篇文章: Debian系Swap虚拟内存设置
下一篇文章: 如何开一个小小的minecraft服务器