Splunk-search-language

提供:Dev Guides
移動先:案内検索

Splunk-検索言語

Splunk Search Processing Language(SPL)は、データセットから目的の結果を取得するために記述された多くのコマンド、関数、引数などを含む言語です。 たとえば、検索語の結果セットを取得する場合、結果セットからさらに特定の用語をさらにフィルタリングすることができます。 そのためには、既存のコマンドに追加するいくつかの追加コマンドが必要です。 これは、SPLの使用法を学習することで達成されます。

SPLのコンポーネント

SPLには次のコンポーネントがあります。

  • 検索用語-これらはあなたが探しているキーワードまたはフレーズです。
  • コマンド-結果のフォーマットやカウントなど、結果セットに対して実行するアクション。
  • 関数-結果に適用する計算は何ですか。 合計、平均など
  • Clauses -結果セットのフィールドをグループ化または名前変更する方法。

以下のセクションの画像を使用してすべてのコンポーネントについて説明しましょう-

検索ワード

これらは、検索条件に一致する特定のレコードをデータセットから取得するために検索バーで言及する用語です。 以下の例では、2つの強調表示された用語を含むレコードを検索しています。

Spl_1

コマンド

SPLが提供する多くの組み込みコマンドを使用して、結果セット内のデータを分析するプロセスを簡素化できます。 次の例では、headコマンドを使用して、検索操作の上位3つの結果のみを除外しています。

Spl_2

関数

Splunkは、コマンドとともに、分析中のフィールドから入力を取得し、そのフィールドに計算を適用した後に出力を提供できる多くの組み込み関数も提供します。 以下の例では、入力として取得される数値フィールドの平均値を計算する* Stats avg()*関数を使用します。

Spl_3

条項

特定のフィールドでグループ化された結果を取得する場合、または出力内のフィールドの名前を変更する場合は、それぞれ group by 句とas句を使用します。 以下の例では、 web_application ログにある各ファイルの平均バイトサイズを取得します。 ご覧のとおり、結果には各ファイルの名前と各ファイルの平均バイト数が表示されます。

Spl_4

https://www.finddevguides.com/index.php?title=Splunk-search-language&oldid=26704」から取得
Powered by MediaWiki