标签:last 程序 字段 表达式 正则表达式 sea 毫秒级 sdn 大数
Splunk 作为大数据搜索处理软件,作为行业的翘楚,绝对值得探索和学习,Splunk能实时对任何应用程序、服务器或者网络设备的数据和数据源进行搜索和索引,包括任何位置的日志、配置文件、信息、陷阱和预警、脚本及其他各种类型的信息,号称 “机器能产生,Splunk就能索引”。
1、Splunk的正则使用
常用的的匹配方式为: rex 和regex
1.1 regex :将删除与指定正则表达式不匹配的结果
语法 regex (<field>=<regex-expression> | <field>!=<regex-expression> | <regex-expression>) 示例 匹配192开头的IP | regex _raw="(192.\d+.\d+.\d+)"
1.2 rex : 使?该命令既可以通过以正则表达式命名的群组提取字段,也可以通过 Sed 表达式替换或取代字段中的字符。
语法
rex [field=<field>](<regex-expression>[max_match=<int>] [offset_field=<string>])|(mode=sed <sed-expression>)
示例
日志信息:131.253.24.135 fail admin 目标:提取出ip、result、user 表达式: |regex field=_raw "(?<ip>\d+.\d+.\d+.\d+)(?<result>\w+)(<user>\w+)"
更多具体的示例见官方文档:https://docs.splunk.com/Documentation/Splunk/6.6.0/SearchReference/Rex
2、Splunk 可视化和搜索
更多有趣的、更加详细的可以参考:https://www.freebuf.com/articles/database/123006.html
或者官方文档:https://docs.splunk.com/Documentation/Splunk/6.6.0/SearchReference/WhatsInThisManual
3、Splunk 与 ElasticSearch 对比
看过一篇文章,ElasticSearch可以实现 查询亿级数据毫秒级返回,可见 Splunk 与 ElasticSearch 这两个搜索巨头强大之处。
对于这两者的比较可以参考:https://blog.51cto.com/splunkchina/1948105
本文参考:https://blog.csdn.net/Cwiky_1993/article/details/72725355
标签:last 程序 字段 表达式 正则表达式 sea 毫秒级 sdn 大数
原文地址:https://www.cnblogs.com/BackingStar/p/11079298.html
