《splunk语句命令分类.docx》由会员分享,可在线阅读,更多相关《splunk语句命令分类.docx(3页珍藏版)》请在三一办公上搜索。
1、splunk 语句 命令分类布尔运算符:AND、OR 和 NOT; 搜索命令: crawl, savedsearch, search 筛选命令: dedup、fields、head、localize、regex、search、set、tail、where 评估命令: abstract, addtotals, bucket, cluster, collect, convert, correlate, diff, eval, eventstats, format, fillnull, format, kmeans, makemv, mvcombine, mvexpand, nomv, outlie
2、r, overlap, replace, strcat, transaction, typelearner, Xmlunescape 重新排序命令: reverse, sort 提取命令: addinfo, extract/kv, iplocation, multikv, rex, top, typer, xmlkv 使用搜索命令提取字段 可使用各种搜索命令以不同方式提取字段。 rex 执行使用 Perl 正则表达式命名的组的字段提取。 extract使用默认模式显式提取字段/值。 multikv 从多行、表格形式的事件中提取字段/值。 spath 从 xml 和 json 格式的事件数据中提
3、取字段/值。 xmlkv 和 xpath 从 xml 格式的事件数据中提取字段/值。 kvform 根据预定义的表单模板提取字段/值。 转换命令: chart, contingency, highlight, rare, stats, timechart, top. chart:用于创建图表,可显示您想要绘制的任何系列的数据。图表的 X 轴可决定要跟踪的字段。 timechart:用于创建“时段趋势”报表,这意味着 _time 始终为 X 轴。 top:生成用于显示字段最常用值的图表。 rare:创建用于显示字段最不常用值的图表。 stats、eventstats 和 streamstats:
4、生成用于显示摘要统计信息的报表。 associate、correlate 和 diff:创建允许您查看数据中各字段间关联、相关性和差异的报表。 注意: 如您在以下示例中所见,您始终将报表命令放在搜索命令之后,中间用管道操作符 (|) 连接。 chart、timechart、stats、eventstats 和 streamstats 全部设计用于与统计函数结合使用。可用统计函数包括: 计数、非重复计数 平均值、中值、模式 最小值、最大值、范围、百分比 标准偏差、方差 总和 最早出现、最晚出现 有关统计函数及其用法的更多信息,请参阅搜索参考手册中的“stats、chart 和 timechart 函数”。部分统计函数仅 适用于 timechart 命令 用于处理多值字段的搜索命令包括 makemv、 mvcombine、mvexpand 和 nomv。 时间 运算符
