Splunk - Idioma de búsqueda
El lenguaje de procesamiento de búsqueda de Splunk (SPL) es un lenguaje que contiene muchos comandos, funciones, argumentos, etc., que se escriben para obtener los resultados deseados de los conjuntos de datos. Por ejemplo, cuando obtiene un conjunto de resultados para un término de búsqueda, es posible que desee filtrar algunos términos más específicos del conjunto de resultados. Para ello, necesita agregar algunos comandos adicionales al comando existente. Esto se logra aprendiendo el uso de SPL.
Componentes de SPL
El SPL tiene los siguientes componentes.
Search Terms - Estas son las palabras clave o frases que busca.
Commands - La acción que desea realizar en el conjunto de resultados, como formatear el resultado o contarlos.
Functions- Cuáles son los cálculos que vas a aplicar a los resultados. Como suma, promedio, etc.
Clauses - Cómo agrupar o cambiar el nombre de los campos en el conjunto de resultados.
Discutamos todos los componentes con la ayuda de imágenes en la siguiente sección:
Términos de búsqueda
Estos son los términos que menciona en la barra de búsqueda para obtener registros específicos del conjunto de datos que cumplen con los criterios de búsqueda. En el siguiente ejemplo, buscamos registros que contengan dos términos resaltados.
Comandos
Puede utilizar muchos comandos integrados que proporciona SPL para simplificar el proceso de análisis de los datos en el conjunto de resultados. En el siguiente ejemplo, usamos el comando head para filtrar solo los 3 resultados principales de una operación de búsqueda.
Funciones
Junto con los comandos, Splunk también proporciona muchas funciones integradas que pueden tomar la entrada de un campo que se está analizando y dar la salida después de aplicar los cálculos en ese campo. En el siguiente ejemplo, usamos elStats avg() función que calcula el valor medio del campo numérico que se toma como entrada.
Cláusulas
Cuando queremos obtener resultados agrupados por algún campo específico o queremos cambiar el nombre de un campo en la salida, usamos el group bycláusula y la cláusula as respectivamente. En el siguiente ejemplo, obtenemos el tamaño promedio de bytes de cada archivo presente en elweb_applicationIniciar sesión. Como puede ver, el resultado muestra el nombre de cada archivo, así como el promedio de bytes de cada archivo.
