Splunk 作為大數(shù)據(jù)搜索處理軟件，作為行業(yè)的翹楚，絕對(duì)值得探索和學(xué)習(xí)，Splunk能實(shí)時(shí)對(duì)任何應(yīng)用程序、服務(wù)器或者網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)和數(shù)據(jù)源進(jìn)行搜索和索引，包括任何位置的日志、配置文件、信息、陷阱和預(yù)警、腳本及其他各種類型的信息，號(hào)稱 “機(jī)器能產(chǎn)生，Splunk就能索引”。

　　1、Splunk的正則使用

　　

　　常用的的匹配方式為: rex 和regex

　　1.1 regex ：將刪除與指定正則表達(dá)式不匹配的結(jié)果

語法
regex (<field>=<regex-expression> | <field>!=<regex-expression> | <regex-expression>)

示例  匹配192開頭的IP

| regex _raw="(192.d+.d+.d+)"

　　1.2 rex ： 使?該命令既可以通過以正則表達(dá)式命名的群組提取字段，也可以通過 Sed 表達(dá)式替換或取代字段中的字符。

語法

rex [field=<field>](<regex-expression>[max_match=<int>] [offset_field=<string>])|(mode=sed <sed-expression>)

示例 
日志信息：131.253.24.135 fail admin
目標(biāo)：提取出ip、result、user
表達(dá)式： 
|regex field=_raw "(?<ip>d+.d+.d+.d+)(?<result>w+)(<user>w+)"

　　更多具體的示例見官方文檔：https://docs.splunk.com/Documentation/Splunk/6.6.0/SearchReference/Rex

　　2、Splunk 可視化和搜索

　　更多有趣的、更加詳細(xì)的可以參考：https://www.freebuf.com/articles/database/123006.html

　　或者官方文檔：https://docs.splunk.com/Documentation/Splunk/6.6.0/SearchReference/WhatsInThisManual

　　3、Splunk 與 ElasticSearch 對(duì)比

　　看過一篇文章，ElasticSearch可以實(shí)現(xiàn) 查詢億級(jí)數(shù)據(jù)毫秒級(jí)返回，可見 Splunk 與ElasticSearch 這兩個(gè)搜索巨頭強(qiáng)大之處?！　?/p>

　　對(duì)于這兩者的比較可以參考：https://blog.51cto.com/splunkchina/1948105

本文參考：https://blog.csdn.net/Cwiky_1993/article/details/72725355

總結(jié)

以上是生活随笔為你收集整理的Splunk 基本使用的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。