欢迎来到天天文库
浏览记录
ID:41004902
大小:267.50 KB
页数:5页
时间:2019-08-13
《splunk Search 应用技巧(多图查看)》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、SplunkSearch应用技巧初次上手splunk的人总会觉得splunk的操作难以上手,特别是听到所有的搜索都是基于字段的,而字段的定义又是通过了正则表达式,没有接触过的人一定会相当的头疼,我这里就基本操作和使用心得小小炫耀下:具体操作如下:选择进入SearchAPP这里的searchbar输入我们需要的search语句注意:范围越精准,search语句的效率越高,建议精确到sourcetype,因为字段的定义也是以sourcetype为标准的。这里显示的就是提取出来的字段,挑选字段字段在这里操作将需要展示的字段添加到已选字段。根据客户需求提取字段点击下
2、三角,选择提取字段,进入字段编辑页面将需要编辑的字段拖拽到左边的样本,可以生成默认的字段正则,但可能会有个别不匹配,这里就需要你来修改正则,这里给出通用字段提取正则,我的例子中是用空格分割的,所以使用的是S+:(?i)^(?:[^s]*s+){10}(?P[^s+]+)你也可以点击编辑修改自动生成的正则: 应用并保存保存后就可以看到字段选择中添加了你所创建的字段,任何日志都会有自己特定的格式,使用上面通用的正则,splunk字段提取是不是变的相当的方便。如果你觉的我写的还可以,请继续支持Q.A.S.T,我们会一如既往的给您提供优
3、秀的国外软件。
此文档下载收益归作者所有
