splunk 提取字段_splunk 学习笔记之三[使用字段查找对照]
使用字段查找对照(field lookup)
字段查找对照的意思是我们可以通过去查找Splunk所导入数据之外的csv文件来把数据包含的字段信息进行扩展,从而获得更多的内容
例如,在上面的例子中,product_id的内容对我们来说并不直观,我们并不知道这些产品代码具体是什么? 这些信息并不存在于日志中
但是我们可以通过外部查找的方式获得。
我们先从官网下载一个product_lookup.csv.zip文件.下载并解压缩
进入对照表管理
在splunk页面右上角点击"管理", 在管理页面选择"查找"
点击"查找",进入对照表管理页面
上传对照表文件
在"查找表文件"一行点击新增,选择要上传的"product_lookup.csv,在"目标文件名称中"也填入product_lookup_csv,保存完成即可
查找表定义
在"查找表定义"一行选择新增,按照下图进行定义:
设置自动查询
在"自动查找"一行选择新增,按照下图进行定义
完成上述查找定义后,返回search应用,搜索sourcetype = access_*,编辑选择的字段,这时我们可以看到会增加product_name,price字段
更多搜索实例
1.页面总浏览量是多少?
source="Sampledata.zip:./apache*" method=GET | stats count AS 页面浏览数量
2.页面浏览量和实际购买数字差别比例有多少?
source="Sampledata.zip:./apache*" method=GET | stats count AS Views, count(eval(action="purchase")) AS Purchases|eval percentage=round( 100-(Purchases/Views*100)) | rename views AS 浏览数量 | rename Purchases AS 购买数量| rename percentage
as "%差别比例"
3.页面所销售的商品名称,数量和收入是多少?
source="Sampledata.zip:./apache*" action=purchase|stats count AS 购买数量, values(price) AS 单价,sum(price) AS Total by product_name|eval Total="$ ".tostring(Total, "commas")|rename product_name AS 产品名称| rename Total as 收入
4.有多少购买错误发生?
source="Sampledata.zip:./apache*" action=purchase status=503|stats count
splunk 提取字段_splunk 学习笔记之三[使用字段查找对照]相关推荐
- linux系统管理学习笔记之三----软件的安装
linux系统管理学习笔记之三----软件的安装 2009-12-29 19:10:02 标签:linux 系统管理 [推送到技术圈] 版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章 ...
- ElasticSearch 6.x 学习笔记:12.字段类型
ElasticSearch 6.x 学习笔记:12.字段类型 欢迎转载. https://blog.csdn.net/chengyuqiang/article/details/79048800 12. ...
- 学习笔记之三人表决器FPGA
学习笔记之三人表决器FPGA 新手入门,多多包涵,不足错误之处,望指出 三人表决器,顾名思义就是三人投票,只要达到两票以上,就取胜. 设a,b,c为三个投票的人,输出的为f,投为1,不投为0,两票以上 ...
- 2010年SQLite学习笔记之三
2010年SQLite学习笔记之三 一.如何备份数据库 先打开数据库test.db E:/sqlite/tool/sqlite-3_6_22>sqlite3 D:/Test/debug/tes ...
- FreeRtos学习笔记(11)查找就绪任务中优先级最高任务原理刨析
FreeRtos学习笔记(11)查找就绪任务中优先级最高任务原理刨析 怎么查找就绪任务中优先级最高的? tasks.c中声明了一个全局变量 uxTopReadyPriority,任务从其他状态进入就绪 ...
- oracle v$ 表,【学习笔记】Oralce视图 查找分析V$PARAMETER视图的基表
天萃荷净 分享一篇关于查找分析V$PARAMETER视图的基表的案例方法 1.使用trace查找show parameter执行语句 alter session set events '10046 t ...
- Python学习笔记:通过Headers字段模拟浏览器访问亚马逊界面爬取
学习笔记:哔哩哔哩 Python 爬虫视频教程全集(62P)| 6 小时从入门到精通 0. 学习视频地址 https://www.bilibili.com/video/BV1pt41137qK?p=1 ...
- oracle复制另一个字段,【学习笔记】Oracle存储过程 表中列不同时动态复制表中数据到另一个表中...
天萃荷净 分享一篇关于Oracle存储过程实现表之间数据复制功能.两表中列不同,动态的将一表中的数据复制到另一个表中案例 因为要用到回收站功能,删除一条记录,要先放到一个delete表中,以便以后恢复 ...
- oracle的PRIPID字段,【学习笔记】Oracle进程调度策略优先级 high_priority_processes案例...
[学习笔记]Oracle进程调度策略优先级 high_priority_processes案例 时间:2016-10-27 21:51 来源:Oracle研究中心 作者:HTZ 点击: 次 ...
最新文章
- 【python初识】列表与函数模块
- PC机键盘的处理过程
- 04 Websocket和Websocketed
- Markdown简明教程
- Eclipse——e(fx)clipse下载错误导致的安装失败解决方案
- iOS开发点击UIButton实现UIView的旋转
- Android开发之AlertDialog设置左右边距的间接办法
- java字节码运行原理_JVM 内部原理(六)— Java 字节码基础之一
- python脚本在centos系统一键卸载重新安装Mysql
- controller层没反应_一脚踏空就没命!57岁民警33层楼顶飞身救人
- python内置函数print输出到文件,实现日志记录的功能
- 中国百家姓氏图腾大全
- 各地大厂名单(一二线城市知名公司)
- css字的大小,css 中字体大小
- 整理了46个python人工智能库,详细介绍(含资源),建议收藏
- 软件设计师刷题与知识点总结 笔记
- 武汉江夏区计算机学院,信工班级风采展⑦ 计算机类1902班
- 《代码阅读》读书笔记(一)
- 风靡全球的心里测试 席卷全球的心里测试 全球火热议论的心里测试
- XP下让系统自动登录