splunk常用命令

splunk语法Splunk语法：它可以被称为是日志搜索引擎的搜索语言。

什么是Splunk，首先，Splunk旨在从日志文件中提取有用的信息，并将其转换为可读取的格式。

Splunk允许使用强大的给定语法将有价值的信息从大量日志数据中进行提取。

Splunk语法基于标准Unix wildcards，正则表达式和其他灵活的搜索语句。

Splunk语法可用于有效地根据关键字和字段针对特定关键词进行搜索，它允许用户根据特定的条件来定义精确的搜索。

例如，可以使用Splunk语法为特定的字段（比如，“IP地址”）创建查询，这将捕获在特定字段中出现的字符串，甚至可以让你指定特定的字符。

Splunk还支持更多强大的搜索语句，最重要的两个是“管道”和“模糊搜索”。

使用管道，用户可以将一系列搜索语句（管道）“管道”成一起，以便搜索结果符合多个标准。

而模糊搜索使用的是特殊的通配符，它可以帮助用户捕获一组字符，而不是一个特定的字符串。

此外，Splunk还支持统计函数，这些函数可以帮助你对日志文件中的数据进行统计分析，因此你可以得到有用的信息，例如偏差，平均值等。

Splunk语法还可用于排序，归类和标记数据，以及创建表或图形，以便更加详细地检查搜索结果。

Splunk语法的强大性取决于它的速度和可扩展性，它可以根据关键字和字段针对特定关键词进行快速搜索，而且可以根据任何大小的日志文件以及任何量级的搜索结果抽取有用的信息。

在处理高数据量时，Splunk语法可以帮助用户快速定位有用信息，而且还可以容易地扩展以处理更多数据。

总而言之，Splunk语法是一种强大的搜索引擎，它通过支持标准Unix wildcards，正则表达式和其他灵活的搜索语句，来帮助用户快速有效地提取有用的信息，而且它还支持统计函数和排序，归类和标记数据，以及创建表或图形的功能，使得搜索结果更加精确。

Splunk命令的使用方法
1，简单例子介绍
首先提取自定义字段
rex field=_raw "customer-alert-(?<postcode>.*)"
作用就是匹配正则，并把匹配的内容作为新的field，名为postcode。

然后规定时间长度为
timechart span=1mon count
最后以postcode为分组依据
timechart span=1mon count by postcode
Splunk对于分组会默认有一个限制，超过限制的部分会命名为Others，显然我们不需要Others，而是需要所有分组，邮编有超过两千个，直接粗暴一些，禁用others，然后最大长度限制为3000
useother=f limit=3000
2，对满足条件的事件进行统计
stats count() ：括号中可以插入字段，主要作用对事件进行计数
stats dc()：distinct count，去重之后对唯一值进行统计
stats values()，去重复后列出括号中的字段内容
stats list()，未去重之后列出括号指定字段的内容
stats avg()，求平均值
３、rare, 显示字段出现次数最少的值
fields ：保留或删除搜索结果中的字段。

fields – xx 删除xx字段，保留则不需要 – 符号。

使用macOS终端命令进行系统日志查看和分析在macOS系统中，终端是一个强大的工具，可以帮助我们进行各种系统相关的操作。

其中包括查看和分析系统日志，以便随时监控和排查系统问题。

本文将介绍如何使用macOS终端命令进行系统日志的查看和分析。

## 一、打开终端首先，我们需要打开终端。

在Finder中，找到“应用程序”文件夹，然后找到“实用工具”文件夹，在其中找到“终端”应用程序并点击打开。

终端界面将会呈现在你面前。

## 二、查看系统日志一旦终端打开，我们就可以通过以下命令来查看系统日志：`log show`。

执行该命令后，终端将显示最新的系统日志。

如果我们只想查看特定时间范围内的系统日志，可以使用`--start`和`--end`参数。

例如，要查看过去一小时内的系统日志，可以执行以下命令：`log show --start "2021-01-01 00:00:00" --end "2021-01-01 01:00:00"`。

## 三、过滤系统日志系统日志通常非常庞大，包含大量的信息。

为了更方便地分析系统问题，我们可以使用过滤器来过滤系统日志。

以下是一些常用的过滤器示例：1. 根据关键字过滤：`log show --predicate 'process == "kernel"'`。

这个命令将只显示与内核相关的日志信息。

2. 根据日志级别过滤：`log show --level error`。

这个命令将只显示错误级别的日志信息。

3. 根据日志来源过滤：`log show --info --name com.apple.myapp`。

这个命令将只显示与指定应用程序相关的日志信息。

## 四、保存系统日志有时候，我们可能需要保存系统日志以便后续分析。

要保存当前日志到文件中，可以使用以下命令：`log show > ~/Desktop/system.log`。

Splunk搜索教程什么是Splunk？Splunk可以从应用程序、服务器或网络设备及其他IT基础设备中搜索IT 数据，是一款功能强大且灵活的搜索分析引擎。

它可以帮助您在单点实现实时搜寻、故障排查、监测、警示及报告IT基础设备上的所有IT数据。

Splunk用户应用程序支持人员利用Splunk对应用环境进行端对端搜索及补救，并对整个服务创建警报和仪表板来主动监测服务性能、可用性及业务度量。

应用支持人员根据各自职责分配给当前用户的角色隔离数据访问，并在不影响安全性的情况下支持应用程序开发人员和第一等级人员从生产日志上获取其所需的信息。

Splunk是一款多功能的搜索引擎，用途广泛，适合不同类型的用户。

系统管理员、网络工程师、安全分析师、软件开发人员、服务台及应用支持人员——甚至经理、副总裁和首席信息官都使用Splunk帮助他们更出色更快速地完成工作。

系统管理员和IT人员可使用Splunk检查服务器问题，了解其配置及监测用户活动。

之后他们可将搜索结果转变成预警，警报服务器性能阈值、关键性系统错误及负载。

高级网络工程师可使用Splunk排查升级问题，识别导致常规问题的事件及模式，如配置错误的路由器、邻居变化等，并将事件的搜索结果变成预警。

安全分析人员和事故应急小组可以使用Splunk审查标记用户的活动，并获取敏感数据、自动监测已知的不良事件，同时通过复杂关系搜索找出已知的风险模型，如强力攻击、数据泄漏甚至应用程序级别的欺诈。

所有决策管理层可使用Splunk构建报告和仪表板来检测并汇总其IT基础构建和业务的健康状况、性能、活动及容量。

Splunk支持的平台Splunk几乎可以在所有的计算平台上运行，但本教程重点介绍Windows 和Mac OS X版本的Splunk。

当然，无论您选择在何种平台上运行Splunk，您依然能够从―启动Splunk‖这一节开始学习本教程。

Splunk是一款安装在您本地电脑上的软件，您需要通过Web浏览器访问Splunk。

Splunk Enterprise 6.0搜索⼿册⽣成时间：2013 年 10 ⽉ 29 ⽇，下午 12:5744444567101011121213151515171819212222222527272728282829293031313132323334Table of Contents简介欢迎使⽤搜索⼿册使⽤ Splunk 搜索Splunk 搜索包含哪些内容对正在运⾏的搜索执⾏操作设置搜索模式以调整搜索体验关于搜索助理使⽤搜索任务查看器查看搜索属性搜索概述关于搜索关于搜索管道关于搜索语⾔关于 search 语⾔语法编写更好的搜索检索事件关于检索事件使⽤搜索命令使⽤字段检索事件从索引和分布式搜索节点中检索事件分类和分组类似事件使⽤时间线调查事件模式指定时间范围关于搜索中的时间范围选择要应⽤于搜索的时间范围在搜索中指定时间调节器在搜索中指定实时时间范围窗⼝报告搜索结果关于报表命令创建基于时间的图表创建不（⼀定）基于时间的图表直观显⽰⾼低字段值创建⽤于显⽰摘要统计信息的报表在搜索结果中查找关联、统计相关性和差异构建多数据系列图表⽐较多天中每⼩时的总和实时搜索和报表关于实时搜索和报表Splunk Web 中的实时搜索和报表CLI 中的实时搜索和报表实时搜索和报表的预期性能和已知限制如何限制实时搜索的使⽤情况353535363637383838393941414142434344444646464648484849505051535454555555565656评估和操作字段关于评估和操作字段使⽤ eval 命令和函数使⽤查找从查找表中添加字段使⽤搜索命令提取字段操作和评估多值字段计算统计信息关于计算统计信息使⽤ stats 命令和函数将 stats 与 eval 表达式和函数配合使⽤将迷你图添加到搜索结果关联事件关于事件相关性使⽤时间确定事件之间的关系关于⼦搜索使⽤⼦搜索关联事件更改⼦搜索结果的格式关于交易确定事件并将其分组为交易预测将来事件关于 Splunk Enterprise 的预测分析更多搜索⽅法创建和使⽤搜索宏编写⾃定义搜索命令关于本章搜索命令样式指南编写搜索命令将⾃定义命令添加到 Splunk 控制对⾃定义命令的访问⾃定义事件⽣成命令⽰例⾃定义搜索命令 shape 外部化搜索错误字符串外部化搜索错误搜索⽰例和⾛查本章包含哪些内容？多数据系列报表⽐较多天中每⼩时的总和监视和告警 Windows 磁盘使⽤情况计算动态字段的⼤⼩此内容将在下⼀个主题“设置搜索模式以调整搜索体验”中进⾏更详细保存结果报表：如果要使搜索可供以后使⽤，可以要时在特殊基础上再次运快速和详细模式代表搜索模式范围的两端。

splunk命令行操作以及相关信息OU=xdf_users OU=xindongfang DC=yunjm DC=contoso DC=com 用户OU=xindongfang DC=yunjm DC=contoso DC=com 组****磁盘中VM********************====================================== ========================================= ========Splunk-Master inet addr:192.168.154.140 Bcast:192.168.154.255 Mask:255.255.255 .0Splunk-Index-01 inet addr:192.168.154.141 Bcast:192.168.154.255 Mask:255.255.255 .0Splunk-Index-02 inet addr:192.168.154.142 Bcast:192.168.154.255 Mask:255.255.255 .0Splunk-Index-03 inet addr:192.168.154.143 Bcast:192.168.154.255 Mask:255.255.255 .0====================================== ========================================= ========******搭建Splunk环境的命令***********************############################################# ################################################ ####CentOS 6.5vim /etc/sysconfig/networkvim /etc/hostsservice iptables stopchkconfig iptables offCentOS 7hostnamectl set-hostname Splunk-forword 修改主机名1、关闭firewall：systemctl stop firewalld.service #停止firewallsystemctl disable firewalld.service #禁止firewall开机启动firewall-cmd --state #查看默认防火墙状态（关闭后显示notrunning，开启后显示running）2、iptables防火墙（这里iptables已经安装，下面进行配置）vi/etc/sysconfig/iptables #编辑防火墙配置文件# sampleconfiguration for iptables service# you can edit thismanually or use system-config-firewall# please do not askus to add additional ports/services to this default configuration*filter:INPUT ACCEPT [0:0]:FORWARD ACCEPT[0:0]:OUTPUT ACCEPT[0:0]-A INPUT -m state--state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -jACCEPT-A INPUT -i lo -jACCEPT-A INPUT -p tcp -mstate --state NEW -m tcp --dport 22 -jACCEPT-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT-A INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT-A INPUT -j REJECT--reject-with icmp-host-prohibited-A FORWARD -jREJECT --reject-with icmp-host-prohibited COMMIT:wq! #保存退出############################################# ################################################ ####**SPLUNLK*********************ls -l splunk*tar zxvf splunk-* - Linux -*.tgz -C /opt 安装splunkcd /opt/splunk/bin./splunk start --accept-licensehttp8000web端口 8089管理端口 mgmthttp：//myalfresco.fulan：8000默认账户是：admin默认密码是：cangeme首次登录需要改密码防火墙:service iptables statussplunk 开机自启动 ./splunk enable boot-start卸载 splunk Enterprisesplunk disable boot-start禁用自启动splunk stoprm -rf/opt/splunk卸载要慎重，注意数据备份******卸载****************$SPLUNK_HOME/bin/splunk stopFind and kill any lingering processes that contain "splunk" in their name.For LinuxFor Mac OSRemove the Splunk Enterprise installation directory, $SPLUNK_HOME.rm -rf /Applications/splunk############################################# ################################################ ######****安装 splunk Universal Forwarder***************************************tar xzvf splunkforwarder—*.tgz -C /opt/opt/splunkforwarder/bin/splunk start --accept-license/opt/splunkforwarder/bin/splunk enable boot-start会出现一个端口冲突的问题 :8090重新设置端口./splunk show splunkd-port./splunk set splunkd-port 8091修改密码：-role admin -auth admin:changeme****windows DOS命令*******************************net start splunknet stop splunk./splunk show splunkd-port./splunk show web-port====================================== =================****归档路径***********************############################################# ###################cd /opt/splunk/var/lib/splunk/cd /opt/splunk/etc/apps/要归档的索引/localcd /opt/splunk/etc/apps/search/local############################################# ###################*********************归档配置参数*21600 一天*648000一个月*188697600 6年①归档的保存周期（天数配置参数）②冻结归档路径命令***************************************############################################################################################# ######①frozenTimePeriodInSecs = 21600②coldToFrozenDir =############################################# ################################################ ######***********************history 查看历史操作**解冻命令 ***********************############################################# ################################################ #####cp -rf db_1515994584_1515990961_0/opt/splunk/var/lib/splunk/解冻的索引/thaweddb/ #cd /opt/splunk/var/lib/splunk/要解冻的索引/thaweddb #../thaweddb/ls | xargs -i /opt/splunk/bin/splunk rebuild {} ############################################## ###################****常用目录*******************############################################# ################################################ ##########################主目录$Splunk_Home/bin #主要脚本目录$Splunk_Home/etc #主要配置目录$Splunk_Home/var #主要日志目录和数据目录常用目录$Splunk_Home/etc/system/ #系统常用配置目录$Splunk_Home/etc/users #用户角色及用户配置目录$Splunk_Home/etc/apps #应用目录$Splunk_Home/etc/deployment-apps #客户端应用推送目录$Splunk_Home/etc/master-apps #索引推送目录$Splunk_Home/etc/shcluster #搜索头应用推送目录注意事项$Splunk_Home/etc/system/default --它是Splunk自带的默认配置文件，不要编辑此目录下文件，因为每次跟新系统时它们将被重写。

splunk多个数据关联查询splunk是当下⽐较⽕的⼤数据分析⼯具，可以收集⽇志数据、性能数据、⽹络数据包。

这些数据都是⼀些⾮结构化的数据，我们可以统⼀将这些数据统⼀采集到splunk之后，splunk可以对这些数据进⾏索引、调查、监控、可视化，告警等等。

还可以做⼀下机器学习训练等操作，⾮常⽅便。

之前的都是⽐较简单的查询，例如查询IPS的流量，统计某个⽤户访问⽹站频率，攻击频率等等。

splunk有多个数据集，mysql这种就很好做关联查询了，left jion 等等，查了资料整理如下，给需要的⼈参考。

SQL command SQL example | Splunk SPL example备注SELECT *SELECT * FROM mytablesource=mytable source就相当于tableWHERESELECT * FROM mytable WHERE mycolumn=5source=mytable mycolumn=5SELECTSELECT mycolumn1, mycolumn2 FROM mytablesource=mytable | FIELDS mycolumn1, mycolumn2通过fields可以规定查询哪⼏列AND/ORSELECT * FROM mytable WHERE (mycolumn1="true" OR mycolumn2="red") AND mycolumn3="blue"source=mytable AND (mycolumn1="true" OR mycolumn2="red") AND mycolumn3="blue"AS (alias)SELECT mycolumn AS column_alias FROM mytablesource=mytable | RENAME mycolumn as column_alias | FIELDS column_aliasrename关键字BETWEENSELECT * FROM mytable WHERE mycolumn BETWEEN 1 AND 5source=mytable mycolumn>=1 mycolumn<=5GROUP BY SELECT mycolumn, avg(mycolumn) FROM mytable WHERE mycolumn=value GROUP BY mycolumnsource=mytable mycolumn=value | STATS avg(mycolumn) BY mycolumn | FIELDS mycolumn, avg(mycolumn)stats对结果分组，并取平均值LEFT (OUTER) JOIN SELECT * FROM mytable1 LEFT JOIN mytable2 ON mytable1.mycolumn= mytable2.mycolumnsource=mytable1 | JOIN type=left mycolumn [SEARCH source=mytable2][SEARCH..]相当于⼀个⼦查询了，然后进⾏连接TRUNCATE TABLE TRUNCATE TABLE mytable source=mytable | DELETEUNIONSELECT mycolumn FROM mytable1 UNION SELECT mycolumn FROM mytable2source=mytable1 | APPEND [SEARCH source=mytable2] | DEDUP mycolumn APPEND相当于将当前查询与⼦查询组合起来UNION ALLSELECT * FROM mytable1 UNION ALL SELECT * FROM mytable2source=mytable1 | APPEND [SEARCH source=mytable2]区别在于，不需要去重字段在表关联查询中，⽰例使⽤的是字段相同的，但是我的⽐较特殊，没有字段关联名称关联，但是我确认字段的值是关联的。

布尔运算符：AND、OR 和NOT；搜索命令： crawl, savedsearch, search筛选命令： dedup、fields、head、localize、regex、search、set、tail、where评估命令：abstract, addtotals, bucket, cluster, collect, convert, correlate, diff, eval, eventstats, format, fillnull, format,kmeans, makemv, mvcombine, mvexpand, nomv, outlier, overlap, replace, strcat, transaction, typelearner,Xmlunescape重新排序命令： reverse, sort提取命令： addinfo, extract/kv, iplocation, multikv, rex, top, typer, xmlkv使用搜索命令提取字段可使用各种搜索命令以不同方式提取字段。

rex 执行使用 Perl 正则表达式命名的组的字段提取。

extract（或 kv，代表“键/值”）使用默认模式显式提取字段/值。

multikv 从多行、表格形式的事件中提取字段/值。

spath 从 xml 和 json 格式的事件数据中提取字段/值。

xmlkv 和 xpath 从 xml 格式的事件数据中提取字段/值。

kvform 根据预定义的表单模板提取字段/值。

转换命令： chart, contingency, highlight, rare, stats, timechart, top.chart：用于创建图表，可显示您想要绘制的任何系列的数据。

图表的X 轴可决定要跟踪的字段。

timechart：用于创建“时段趋势”报表，这意味着_time 始终为X 轴。

top：生成用于显示字段最常用值的图表。