Рубрики
Uncategorized

Полезные функции поиска Splunk

Мы всегда ищем способ сделать конкретные поиски, и кажется сложным, когда мы не знаем … Теги с DEVOPS, сегодня предшествующим, мониторингом, Splunk.

Мы всегда ищем способ сделать определенные поиски, и кажется сложным, когда мы не знаем все возможности инструмента.

Так что здесь мы должны исследовать некоторые из них!

Первый

[Поиск] |. Статистика первой () по [Параметр]

Первая () команда извлечет вас все первые журналы, которые он основан для каждого значения параметра. Так что, если вы используете «Сортировать Time ASC», вы найдете свой самый ранний журнал, связанный с параметром … Если вы сортируете по алфавиту, вы получите первый элемент списка.

Экзек

index=info | stats first() by id

Последний

[Поиск] |. Статистика последней () по [Параметр]

Как сначала, но возьмите последний элемент списка.

Экзек

index=info | stats first() by id

Ранний

[Поиск] |. Статистика раннего () по [Параметр]

Как и первым и последним, но всегда будет взять самый ранний журнал.

Экзек

index=info | stats earliest() by id

Последний

[Поиск] |. Статистика последней () по [Параметр]

Как раннее, но возьмите последний журнал.

Экзек

index=info | stats latest() by id

Документация по функционированию Splunk Stats

Во многих моментах можно действительно интересно переименовать переменную.

Идеальный пример после «| Статистика сначала () по ID» . Если вы проверяете имя параметров, возвращаемых функцией, все они выглядят как «First (XXX)», кроме удостоверения личности. Но держите «сначала (XXX)», не помогут вам сделать другие процедуры. Таким образом, вам нужно переименовать переменные.

[Поиск] |. Переименовать [Переменная для переименования] Как [новое имя]

Экзек

index=info | rename id AS id_element

Splunk Documentation

Удаляет журналы, которые содержат идентичную комбинацию значений для полей, которые вы указываете.

[Поиск] |. dedup [Список полей]

Экзек

index=info | dedup id name

Splunk Documentation

Замените нулевые значения со значением, указанным в параметре.

[Поиск] |. FillNull Value = [Новое значение] [Имя поля]

Экзек

index=info | fillnull value=empty error_code

Splunk Documentation

Я надеюсь, что это поможет вам!

Оригинал: «https://dev.to/adaendra/useful-splunk-search-functions-4nm2»