SPLUNK 安装配置及常用语法
一)安装配置
环境:
CentOS 6.2
开始安装:
首先关闭selinux:
#vi /etc/sysconfig/selinux SELINUX=disabled setenforce 0
将之前官网下载好的压缩包进行解压,并安装。
#tar -zxvf splunk-6.0.1-189883-Linux-x86_64.tgz #cd .. #mv splunk /usr/local #cd /usr/local/splunk/bin #./splunk enable boot-start
第一次安装会提示:
This appears to be your first time running this version of Splunk. Copying '/usr/local/splunk/etc/openldap/ldap.conf.default' to '/usr/local/splunk/etc/openldap/ldap.conf' Moving '/usr/local/splunk/share/splunk/search_mrsparkle/modules.new' to '/usr/local/splunk/share/splunk/search_mrsparkle/modules'. Init script installed at /etc/init.d/splunk. Init script is not configured to run at boot.
根据提示进行copy操作,然后进行安装:
#/etc/init.d/splunk start Starting Splunk... Splunk> Take the sh out of IT. Checking prerequisites...Checking http port [8000]: openChecking mgmt port [8089]: openChecking configuration... Done.Creating: /usr/local/splunk/var/lib/splunkCreating: /usr/local/splunk/var/run/splunkCreating: /usr/local/splunk/var/run/splunk/appserver/i18nCreating: /usr/local/splunk/var/run/splunk/appserver/modules/static/cssCreating: /usr/local/splunk/var/run/splunk/uploadCreating: /usr/local/splunk/var/spool/splunkCreating: /usr/local/splunk/var/spool/dirmoncacheCreating: /usr/local/splunk/var/lib/splunk/authDbCreating: /usr/local/splunk/var/lib/splunk/hashDbChecking critical directories... DoneChecking indexes...Validated: _audit _blocksignature _internal _thefishbucket history main summaryDone New certs have been generated in '/usr/local/splunk/etc/auth'.Checking filesystem compatibility... DoneChecking conf files for typos... Done All preliminary checks passed. Starting splunk server daemon (splunkd)... Done[确定] Starting splunkweb... Generating certs for splunkweb server Generating a 1024 bit RSA private key .............++++++ .....................................................++++++ writing new private key to 'privKeySecure.pem' ----- Signature ok subject=/CN=localhost.localdomain/O=SplunkUser Getting CA Private Key writing RSA key[确定] Done If you get stuck, we're here to help. Look for answers here: http://docs.splunk.comThe Splunk web interface is at http://127.0.0.1:8000
打开浏览器,进行访问,同时确保防火墙和访问端口:
#service iptables stop
二)常用语法
全文搜索
搜索框直接输入”搜索词“
purchase
查找匹配词”purchase“
字段搜索
字段名=”搜索词“
source="Sampledata.zip:./apache3.splunk.com/access_combined.log"
查找数据来源为"Sampledata.zip:./apache3.splunk.com/access_combined.log"
通配符搜索
source="Sameledata.zip:.apache*"
查找数据来源为apache开头的所有来源
逻辑组合搜索
source="Sampledata.zip:./apache3.splunk.com/access_combined.log" purchase NOT 200
查找数据来源为"Sampledata.zip:./apache3.splunk.com/access_combined.log" 并且字符串匹配词 "purchase" 并且字符串中不匹配200
嵌套搜索
查找错误码
error OR failed OR (souretype = access*(404 OR 500 OR 503))
当然你可以加上status字段
(sourcetype=access*(status=404 OR status=500 OR status=503)) host="apache3.splunk.com"
使用管理命令
source="Sampledata.zip:./apache*" | top 10 product_id
获取最多访问的10个产品id
source="Sampledata.zip:./apache*" | top limit=1 clientip
获取消费最多的客户端ip
source="Sampledata.zip:./apache*" action=purchase clientip=233.77.49.50|stats count, values(product_id) by clientip
获取指定客户端IP购买的产品,并汇总数量
source="Sampledata.zip:./apache*" category_id = flowers| statsdc(clientip)
统计有多少用户购买了鲜花类的产品
source="Sampledata.zip:./apache*" category_id=flowers| stats count BY clientip
每个独立用户购买鲜花的数量
source="Sampledata.zip:./apache*" category_id=flowers| stats count AS "购买鲜花数量" BY clientip |rename clientip AS 客户
我们可以对结果进行重命名
子搜索
子搜索部分使用[]起来,中括号的部分会先被执行,然后再执行外面搜索部分。
子搜索命令需用search开头
子搜索的速度稍微慢一些
source="Sampledata.zip:./apache*" action=purchase [search sourcetype=access_* action=purchase|top limit=1 clientip|table clientip] | stats count, values(product_id) as product_id by clientip |rename count AS "购买数量",product_id AS "购买产品内容" clientip AS "vip用户"
附:官网文档实验中用到的2个数据文本样例压缩包、及spl_splunk语法对比表。
注:由于博客文件上传容量限制,splunk安装压缩包无法上传,需要的朋友请官网自行下载。
转载于:https://blog.51cto.com/qishiding/1355191
SPLUNK 安装配置及常用语法相关推荐
- mysql splunk_SPLUNK 安装配置及常用语法
一)安装配置 环境:CentOS 6.2 开始安装: 首先关闭selinux:#vi /etc/sysconfig/selinux SELINUX=disabled setenforce 0 将之 ...
- Nginx学习2:Nginx的安装配置和常用命令
Nginx的安装.常用命令和配置文件 在Linux系统安装Nginx 我们使用虚拟机来完成在Linux系统安装Nginx的步骤,在这里我选择的是CentOS7的Linux系统, 1.到官网下载Ngin ...
- Nginx安装配置和常用使用(反向代理与负载均衡)
文章目录 1.Ubuntu服务器中的nginx 2.Mac中使用nginx 3.配置不同的域名访问项目不需要输入端口方式 4.ssl配置 5.nginx 禁止 ip 允许和阻止访问 6.自定义403等 ...
- ES6常用语法糖(附Babel配置使用方法)
获取数据: 解构赋值 解构赋值 <!DOCTYPE html> <html lang="en"> <head><meta charset= ...
- MySQL数据库(安装配置 语句语法使用 项目中操作MySQL)
文章目录: 一:安装配置 1.安装MySQL 2.卸载MySQL 3.汉化MySQL 4.启动和停止MySQL 5.修改MySQL密码 6.连接MySQL 二:语句语法使用 1.语句使用:增删改查 增 ...
- Splunk安装和配置及源码编译安装SVN
Splunk安装和配置 http://my.oschina.net/tuyang/blog/189159 http://my.oschina.net/longniao/blog/82766 http: ...
- brew 无法安装iterm2_Mac系统iTerm2+oh-my-zsh配置及常用插件
iTerm2,是目前Mac平台最好用,功能最强大的终端软件,可以说是Mac系统下终端利器.Mac系统默认使用的终端为bash(MacOS Catalina开始,默认终端已经变成zsh):zsh被喻为& ...
- 浅谈Ubuntu 18.04.1 LTS x86_64安装,美化配置及常用软件安装配置的历程
浅谈Ubuntu 18.04.1 LTS x86_64安装,美化及常用软件安装配置的历程 这几天入坑Ubuntu,本着双系统来的却不小心把Windows玩崩了.期间各种问题各种坑,查阅了很多文章来解决 ...
- Fedora 28 系统基础配置以及常用软件安装方式
实验说明: 很多人说Linux很难用,很难上手,其实不然,倘若不玩游戏,其实很多发行版Linux都可以成为主力系统,就比如本章要讲的 Fedora 28.本章会从镜像来源.系统安装.基础配置和常用软件 ...
最新文章
- Eclipse发布MicroProfile 1.4和2.0
- rsync 断点续传
- 编写程序来模拟计算机LRU算法,操作系统-页式虚拟存储管理程序模拟.doc
- insert select带来的问题
- sshfs的挂载与卸载
- Kotlin 条件控制(六)
- 从 0.99999... = 1 到芝诺悖论
- 3 ~ express ~ 静态文件托管
- 怎样在photoshop中快速批量,修改图片
- ant design vue table 高度自适应_Table行内的开关组件的使用
- 小米路由器3 变砖 ttl 救砖,刷入padavan
- 笔记篇二:鸢尾花数据集分类
- EasyDarwin的交叉编译
- Android 反编译之smail
- 直线端点画垂线lisp_AutoCAD中利用AutoLISP开发小程序,实现快速画直线对称中心线...
- Linux pthread详解
- C++ - STL标准库
- 计算机表格中的及格率怎么做,【excle表格不及格百分比】如何使用Excel计算优秀、良好、合格、不合格的比例?...
- Redis设计与实现——对象
- 求一百个人中有人生日相同的概率