Basic Commands for splunk(基本命令)

最新推荐文章于 2025-06-27 15:42:03 发布
原创 最新推荐文章于 2025-06-27 15:42:03 发布 · 2k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#splunk #Commands  #命令

本文介绍如何通过搜索命令获取特定Web应用中的成功购买事件,并对其进行优化展示。具体步骤包括定位成功的购买记录、精简搜索结果、使用表格形式展现数据、调整字段顺序以匹配营销数据需求、去重会话ID并最终呈现清晰简洁的数据报告。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.搜索请求的数据

Task 1: Search for the requested data.

导航到Search视图。(如果你在主应用程序中,从屏幕左侧的列中单击Search & Reporting。你也可以通过点击屏幕顶部栏上的搜索菜单选项来访问搜索视图。)

Navigate to the Search view. (If you are in the Home app, click Search & Reporting from the column on the left side of the screen. You can also access the Search view by clicking the Search menu option on the bar at the top of the screen.)

 

Enter a search that returns all web application events that include a purchase action with a web status of 200.

Results Example:

Select the file field in the Interesting Fields list.

Results Example:

Notice that there are two different files that were returned from the web server. They are: error.do and success.do. Our web development team informs us that the success.do is served when the order is processed and error.do is served when there is an error with the information being processed.

The team is only looking for successful purchases, so change your search to only return those.

 so we can chick the success.do to achieve it...

Results Example:

You will see fields that do not matter to the team. Use the fields command to only return the action, JSESSIONID and status fields. Does your search run faster using the command?

您将看到与团队无关的字段。使用fields命令只返回操作、JSESSIONID和状态字段。您的搜索是否使用命令运行得更快?

The fields list looks cleaner, but seeing the events like this might still be confusing for the team.

字段列表看起来更干净,但是看到这样的事件对团队来说仍然很混乱。

Task 2: Put the data into an easy to read table.


Replace the fields command with the table command to display the data as a table.

Results Example:

index="main" sourcetype=access_combined_wcookie action=purchase status=200 file="success.do"
| table action,JSESSIONID,status

Change the order of the fields so that JSESSIONID is the first column.

Results Example:

Session IDs are called "UserSessions" in the marketing data. Rename JSESSIONID so that your report matches the marketing data.

Results Example:

index="main" sourcetype=access_combined_wcookie action=purchase status=200 file="success.do"
| table JSESSIONID,action,status
|rename JSESSIONID as UserSessions

Sort UserSessions using the sort command.

Results Example:

index="main" sourcetype=access_combined_wcookie action=purchase status=200 file="success.do"
| table JSESSIONID,action,status
|rename JSESSIONID as UserSessions
| sort UserSessions

Notice that some UserSessions values show up multiple times. Also notice the number of events returned on the Statistics tab.
Remove the sort command and use dedup to remove any identical session values.

Results Example:

How many events are now listed on the Statistics tab?

NOTE: As a best practice and for best performance, place dedup as early in the search as possible.

注意:作为最佳实践和最佳性能,在搜索中尽早放置dedup。

While having action and status fields displayed was nice for a sanity check of the data, the marketing team will not need to have these displayed. Remove them from your table display.

虽然显示动作和状态字段对于数据的完整性检查来说很好,但营销团队不需要显示这些字段。从表显示中删除它们。

Results Example:

 

 

 

 

 

 

 

 

 

 

 

 

Splunk search命令
QYHuiiQ
03-06 2518
splunk的| search命令中我们可能想要对base search中的数据和子查询中的数据进行一个筛选,比如说将base search中某个字段与子查询中某个字段进行对比筛选,一下面的测试为例: | base search ... ... | search [| inputlookup test.csv | fields name,age] #该例表明对base search数据中的name和age字段与inputlookup中的name和age进行对比,筛选出base sea
【人工智能】机器学习的持续交付 (CD4ML)
热门推荐
AI天才研究院
04-29 1万+
机器学习的持续交付 自动化机器学习应用程序的端到端生命周期 机器学习应用程序在我们的行业中变得越来越流行,但是与更传统的软件(例如 Web 服务或移动应用程序)相比,开发、部署和持续改进它们的过程更加复杂。它们会在三个轴上发生变化:代码本身、模型和数据。他们的行为通常很复杂且难以预测,而且他们更难测试、更难解释、更难改进。机器学习持续交付 (CD4ML) 是将持续交付原则和实践引入机器学习应用程序的学科。
Splunk常用命令
dieman0446的博客
07-22 507
重启/查看状态/停止splunk [root@localhost splunk]# /opt/splunk/bin/splunk restart / status / stop 转载于:https://www.cnblogs.com/tdcqma/p/5694484.html
【入门第1课】Splunk安装配置和基础运维
最新发布
rm -rf /*
06-27 3012
Splunk 社区 ,包括白皮书,各类手册,资源下载,社区问答等Splunk 入门指南 | Splunk数据可视化工具Splunk Enterprise免费下载 | Splunk
Splunk Basic Commands with Solutions(基本命令解决方案)
liangkaiping0525的博客
08-17 271
Task 1: Search for the requested data. 搜索请求的数据。                
Splunk自定义命令开发
白M的博客
02-05 1523
目录 简介 自定义命令如何运作的? 使用什么语言开发自定义命令? 内置Python所在位置 如何在后台使用内置Python 内置Python版本 内置Python使用的包和库所在位置 是否有现成的SDK等? SDK下载 SDK存放位置 开发的过程中有什么主意事项? 有什么格式要求? 如何获取到系统中的数据? 如何将脚本处理好的数据返回给系统? 开发好的自定义命令脚本放在什么地方? 给多个APP使用 给自己的APP使用 是否需要做什么配置让Splunk知道开发了自定义.
Implementing.Splunk.2nd.Edition.1784391603
08-20
If you are a data analyst with basic knowledge of Big Data analysis but no knowledge of Splunk, then this book will help you get started with Splunk. The book assumes that you have access to a copy of...
Big Data Made Easy - A Working Guide To The Complete Hadoop Toolset
11-06
- **Hadoop Commands**: Basic commands for managing files and directories in HDFS. - **Sqoop**: A tool for transferring bulk data between Hadoop and relational databases. - **Flume**: A distributed, ...
红队武器库-网络安全人员必备
anquanzushiye的博客
02-20 6002
包含内容:侦察武器化投递命令与控制横向移动建立立足点提权数据传输杂项内容很不错,建议转发朋友圈作为存档。侦察主动情报收集EyeWitnessis designed to take sc...
kolla部署openstack-queens all-in-one
weixin_40548182的博客
10-20 524
网卡 ens37 192.168.140.200 桥接 ens33 192.168.56.3 nat cat /usr/lib/systemd/system/docker.service [Service] ExecStart=/usr/bin/dockerd --insecure-registry 192.168.140.200:4000 -H unix:// MountFlags=shared 修改docker镜像源 复制代码 sudo vi /etc/docker/daemon.json ​ {
splunk搜索手册(中文)
09-01
splunk搜索手册(中文): 该手册介绍 Splunk 搜索以及如何使用 Splunk 搜索处理语言。 如果您之前未使用过 Splunk Enterprise 和搜索,可以从“搜索教程”开始。搜索教程介绍搜索和报表应用,逐步指导您 添加数据、搜索数据、构建简单报表和仪表板。
splunk搜索参考(中文)
09-01
本手册是“搜索处理语言”(SPL) 的参考指导。搜索参考包含带有完整语法、描述和示例的搜索命令目录。此外,本手册还包含有关命令类别的快速参考信息,可与命令一起使用的函数,以及 SPL 与 SQL 之间的关系。
Splunk大数据分析经验分享:从入门到夺门而逃
weixin_33701564的博客
04-25 3887
2019独角兽企业重金招聘Python工程师标准>>> ...
Splunk学习与实践
hl1293348082的专栏
04-10 2014
1、Splunk公司与产品 美国Splunk公司,成立于2004年,2012年纳斯达克上市,第一家大数据上市公司,荣获众多奖项和殊荣。总部位于美国旧金山,伦敦为国际总部,香港设有亚太支持中心,上海设有海外第一个研发中心。 产品:Splunk Enterprise【企业版】、Splunk Free【免费版】、Splunk Cloud、Splunk Hunk【大数据分析平台】、Splunk Apps【基于企业版的插件】等。企业版按索引的数据量收费,免费版每天最大数据索引量500MB,可使用绝大多数企业版功.
常用的Splunk命令
qq_45800977的博客
08-29 681
索引默认位置:/opt/splunk/var/lib/splunk。关闭/开启splunk服务。修改后需要重启splunk。可以通过配置文件进行修改。查看是否处于开机自启状态。状态、启动、停止、重启。修改后重启splunk
第55篇:日志分析神器Splunk的介绍与使用|大数据分析|智能运维|业务分析
ABC_123的博客
04-02 6014
Part1 前言大家好,我是ABC_123。我曾经花费时间搭建各种Web服务器、数据库环境去研究分析日志,使用的工具从使用系统自带命令去分析日志,到自动化的360星图,再到后期的Logparser、ELK(ElastiSearch、Kibana、Logstash)等等。到最后我发现还是Splunk这款商业版工具用起来更顺手一些,我个人认为这款软件比ELK要好用得多,只不过ELK免费开源可以包装...
Splunk分布式部署简介
qq_57403020的博客
10-24 1037
Splunk Enterprise分布式部署概述 第一节 使用 Splunk Enterprise 组件扩展部署 在单实例部署中,Splunk Enterprise 的一个实例处理数据的所有方面,从输入到索引再到搜索。单实例部署可用于测试和评估目的,并能满足部门级规模的环境的需求。 但是,为了支持更大的环境,其中许多计算机都会生产数据,并且许多用户都需要搜索数据,可以通过在多台计算机上分布式部署Splunk Enterprise 实例。进行分布式部署时,要配置各个实例以便每个实例执行专门的任务。例
【入门第3课】Splunk字段提取
rm -rf /*
10-12 931
Splunk 是一款功能强大的搜索和分析引擎,而字段是splunk搜索的基础,提取出有效的字段就很重要。当Spklunk开始执行搜索时,会查找数据中的字段。与预定义提取指定字段不同,Splunk可以通过用户自定义从原始数据中动态提取字段。
多用途机器人Info-Commands命令功能详解
资源摘要信息:"Info-Commands:机器人中存在的一组命令和功能" 在现代社交和通讯平台上,机器人(通常称为“Bot”)已经成为一个重要的组成部分。它们能够帮助执行多种任务,提供各种服务,并且能够与用户互动。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值