下载此文档

splunkSearch应用技巧(多图查看).doc

文档分类：金融/股票/期货 | 页数：约5页举报非法文档有奖

1/5

下载提示

1.该资料是网友上传的，本站提供全文预览，预览什么样，下载就什么样。
2.下载该文档所得收入归上传者、原创者。
3.下载的文档，不会出现我们的网址水印。

同意并开始全文预览

(约 1-6 秒)

1/5 下载此文档

文档列表 文档介绍

Splunk Search 应用技巧
初次上手splunk的人总会觉得splunk的操作难以上手，特别是听到所有的搜索都是基于字段的，而字段的定义又是通过了正则表达式，没有接触过的人一定会相当的头疼，我这里就基本操作和使用心得小小炫耀下：
具体操作如下:
选择进入Search APP
这里的search bar 输入我们需要的search 语句
注意：范围越精准，search语句的效率越高，建议精确到sourcetype,因为字段的定义也是以sourcetype为标准的。
这里显示的就是提取出来的字段，挑选字段字段在这里操作
将需要展示的字段添加到已选字段.
根据客户需求提取字段

点击下三角,选择提取字段，进入字段编辑页面
将需要编辑的字段拖拽到左边的样本,可以生成默认的字段正则，但可能会有个别不匹配，这里就需要你来修改正则，这里给出通用字段提取正则，我的例子中是用空格分割的，所以使用的是S+：
（?i)^(？：［^\s]*\s+)｛10｝（?P<FIELD_NAME>[^\s+］+)
你也可以点击编辑修改自动生成的正则:
应用并保存
保存后就可以看到字段选择中添加了你所创建的字段,
任何日志都会有自己特定的格式，使用上面通用的正则，splunk字段提取是不是变的相当的方便。
如果你觉的我写的还可以，请继续支持Q。。T，我们会一如既往的给您提供优秀的国外软件.

splunkSearch应用技巧(多图查看) 来自淘豆网m.daumloan.com转载请标明出处.