Splunk 命令教学-天龙八步

x Email
栏位搜寻 Search Cheatsheet
说明
extract reload=true
增加栏位/A
命令
field/value )和重载领域提取设置磁盘。
配(field/value )对，是划定的“ | ” ，和价值观的领
extract pairdelim="|;", kvdelim="=:", auto=f
说明
群组结果 Grou
命令
相同的host和cookie ，发生在30秒内对方，并没有暂停大于 并没有暂停大于5秒到每 transaction fields="host,cookie" 。 maxpause=5s
同样的价值， from ，最大跨度为30秒，以及之间的停顿事件不大于 transaction fields=from maxspan=3 以及之间的停顿事件不大于 maxpause=5s kmeans k=4 date_hour date_minute
每個小時(或每天)的瀏覽公司個各web server的來源 的來源IP數先做一個統計存入summary index. 計時, 只需加總summary index內已做好的每個小時的結果 搜尋時間短. 個小時的結果. 的搜尋名稱如下: y source ip count
che” starthoursago=2 endhoursago=1 | stats count(src_ip) as src_ip_count
栏位搜寻 Search Cheatsheet
说明 rare url
报表部分
命令
st common values of the url field.
most common values of the url field.
top limit=20 url stats dc(host) stats avg(*lay) BY date_hour
ta_generation_command com/base/Documentation/latest/User/SearchPipelineSynt
寻方式 Sub Search
ommand ::= search search_argument gument ::= keyword | field="value" | modifier="value" | subs h ::= search_command "[" [ search ] "]"
令語法 Search Syntax
范例 “error” “apache error Source=*.log :! % $ / \ [ ] { } < > @ = + & NOT ( A OR B) 等於 =, 不等於 !=, 大於 >, 小於 < 449 “ 范例解释
明
n )
代表查询所有 包含 error 写不影响查询结果 代表 “apache” and “ “449” 要查询某 Source= xx.log 可以使用 *.log (可能他原 左边符号可以使用,但是搜 为ASCII符号编码 注意,大写
命令教學 Search Tech
命令語法 Search Syntax 搜尋方式 Search Pipeline Syntax 尋方式 Sub Search 搜寻 Summary Index/Search 义栏位搜寻 Search Cheatsheet 义日志格式及类型 Source type setting
说明
整理结果 Orde
命令
序ip值升序排列，然后通过url值降序排列。
sort ip, -url reverse head 20 tail 20
结果。
果（在相反的顺序） 。
unk.com/base/Documentation/latest/User/SearchCheatsheet
栏位搜寻 Search Cheatsheet
减少增加栏位,
命令
fields host, ip
领域，并删除所有内部领域（例如， _time ， _raw等 ，可能会 等） fields + host, ip 网络。 fields - host, ip
。
说明
命令
匹配src或dst价值观。
search src="10.9.165.*" OR dst="1
="access_combined" [search sourcetype="access_combine ient_ip | search count<10 | fields +client_ip]
unk.com/base/Documentation/latest/User/SearchPipelineSynt
irt, K
SS) to seconds. For example, if delay="00:10:15", the will bedelay="615".
,转换为数值型态,以利计算 2 sec", the resulting value will be duration="212". Rename the _ip field as IPAddress.
field/value )从XML格式数据。 xmlkv自动提取物 xmlkv L标记。 multikv fields COMMAND filter splunkd
现场时，发生在行包含“ splunkd ” 。
到”字段使用正则表达式。 如果原材料事件包含“者： rex field=_raw "From: (?<from>.*) To: (?<to>.*)" 然后由=苏珊并=鲍勃。 strcat sourceIP "/" destIP comboIP eval velocity=distance/time head 20 | iplocation
寻 Summary Index/Search
mary Index (SI) 例子 例子. 天的瀏覽量是5萬個requests. 個月瀏覽公司的來源IP次數, I的搜尋方式是: sourcetype=”apache” startdaysago=30 | stats count(src_ip) : 有maxresult的限制.
tes of results with the same host value and return the the remaining results. rage for each hour, of any unique field that ends with y" (for example, delay, xdelay, relay, etc). ess logs, and return the number of hits from the top referer_domain. ess logs, and return the results associated with each ve at least 3 references to each other).
unk.com/base/Documentation/latest/User/SearchCheatsheet
栏位搜寻 Search Cheatsheet
说明
报表部分
命令
age thruput of hosts over time.
timechart span=5m avg(thruput)
hart of average cpu_seconds by host, and remove data es) that may distort the timechart's axis. ps events, extract values, and calculate the average ach minute for each host. hart of the count of from web sources by host, and values with "NULL".
top limit=100 referer_domain | sum(count) associate supcnt=3 chart avg(size) by host
rage (mean) size for each distinct host.
maximum delay by size, where size is broken down into chart max(delay) by size bins= 0 equal sized buckets.
栏位搜寻 Search Cheatsheet
说明
转型栏位/Conv
命令
变为数字型态
convert auto(*) none(foo) convert memk(virt) convert dur2sec(delay) convert rmunit(duration) rename _ip as IPAddress
4个组的基础上的价值date_hour和date_minute。
cluster t=0.9 showcount=true | so 理他们的cluster_count值，然后返回20个最大的群组（ （数据大小） 。 cluster_count | head 20
unk.com/base/Documentation/latest/User/SearchCheatsheet
P. Values of comboIP = "sourceIP + "/"
ty. Values of velocity = distance field ld value
于IP地址）的头20事件含有“ 404 ” ，并从从
unk.com/base/Documentation/latest/User/SearchCheatsheet
com/base/Documentation/latest/User/SearchSyntax
尋方式 Search Pipeline Syntax
ata_generation_command [ search_pipeline ] ation_command ::= search_command | remote_command and | run_command eline ::= "|" [command] [ search_pipeline ] mmand ::= search [search_argument search_argument]+ ument ::= [keywords] [field="value"] [modifier="value"] mmand] := search_command "[" search "]" mmand ::= remote [server","...","server] | [server" "..." "server] eline] h_command::= savedsearch [name of saved search] ::= nd ::= run [run argument]
尋語法如下: nfo_search_name=”hourly source ip count by web server” | stats sum(src_ip_count) ( (下這個搜尋 04/01/2008:00:00:00 到 04/30/2008:23:59:59)
尋語法搜尋時所要過濾的不是平均一天5萬個, 30天 150萬的事件量, 而是一天24個, 30天720個的事 天
ocalhost to host
replace *localhost with localhost
unk.com/base/Documentation/latest/User/SearchCheatsheet
栏位搜寻 Search Cheatsheet
说明
领域，并显示它们依次为： host ， ip 。
其_raw字段包含IP地址的非路由A级（ 10.0.0.0 / 8 ） 。
regex _raw=(?<!\d)10.\d{1,3}\.\d{1,3}\. dedup host
一个主机价值。
Байду номын сангаас
unk.com/base/Documentation/latest/User/SearchCheatsheet
栏位搜寻 Search Cheatsheet