标签:输入关键字 doc 时间 关键字 log har csv int 入门基础
最重要资料:
入门基础:http://docs.splunk.com/Documentation/Splunk/6.5.2/SearchTutorial/WelcometotheSearchTutorial
查询语句写法:http://docs.splunk.com/Documentation/Splunk/6.5.2/SearchReference/WhatsInThisManual
其他:在上面的链接右上角直接输入关键字查询即可
1.查找昨日数据中sum(total_count)最多的10个id,并显示这10个id的sum(total_count)随时间的变化
source="/home/splunk/test_data/test.csv" [search source="/home/splunk/test_data/test.csv" earliest=-d |stats sum(total_count) by id|sort 10 -sum(total_count)|table id]|timechart sum(total_count) bins=1000 by id
2.查询昨日数据按id的统计信息,注意null处理
source="/home/splunk/test_data/test.csv" earliest=-d|fillnull value=null |stats sum(total_count) by id
3.数据删除, 注意必须要通过有can_delete属性的角色来删除
source="/home/splunk/test_data/test.csv"|delete
4.自动读取新数据。设置-数据输入-文件和目录 监控指定文件or目录, 用例行任务更新对应目录或者文件即可。 其实还可以直接调用脚本,但我试验失败了。
标签:输入关键字 doc 时间 关键字 log har csv int 入门基础
原文地址:http://www.cnblogs.com/dplearning/p/6650397.html
