Splunk_검색 #2

 

검색 처리 언어)

• SPL(Search Processing Language) : Splunk가 제공하는 검색 전용 언어

파이프)

• 파이프 = |
  • 앞 명령어 출력 결과를 파이프 뒤 명령어의 입력으로 전송
  • 항상 왼쪽 검색어 결과를 기반으로 새로운 명령어 적용하는 것
• 정렬 기능 (Ctrl+\)
  
  • Ctrl+\를 입력하면 파이프를 기준으로 줄바꿈을 실시
  • 자동 기능 권고
    • 기본 설정 창 > SPL 편집지 선택 > 고급 편집기 on / 검색 형식 자동 지정 on
    • 파이프(|) 입력 시 이를 기준을 자동 정렬됨

---

 

검색 명령어

 

데이터 나열, 변환 명령어)

• table
  • 필드명과 결합해 검색 결과를 테이블 형식으로 보여줌
  • table + 보고자 하는 필드명
  • 필드명을 잘못 적으면 해당 필드에는 공란이 보임(입력 오류 의심)
  • ex) index="book" sourcetype="access_combined_wcookie"
    | table clientip, method, productId, status
  • 여러 개의 필드는 쉼표(,) 또는 띄어쓰기로 구분

 

• rename
  • 필드명을 다른 이름으로 변경
  • 로그에서 필드명에 의미를 부여하거나 필드에 한글을 쓰고 싶은 경우에 사용
  • rename <<원래 필드명>> AS <<변경하려는 필드명>>
    
    • ex) index="book" sourcetype="access_combined_wcookie"
      | table clientip, method, productId, status
      | rename action AS "Customer Action",
      productId AS ProductID, status AS "HTTP Status"
    • 필드명을 띄어쓰기로 구분하고 싶다면 원하는 필드명을 따옴표로 감싼다.

 

• fields
  • 검색 결과에서 특정 필드를 포함시키거나 제거할 때 사용
  • fields는 검색에서 전체 필드를 추출하기 전에 동작하므로 검색 결과에서 원하는 필드만 선택한다면 전체 검색 성능을 높일 수 있다.
  • 필드를 포함시킬 때
    • fields + <<필드명>>
    • +는 기본 값이므로 반드시 명시할 필요는 없다.
  • 특정 필드를 배제할 때
    • fiels - <<필드명>>
  • 특별한 경우를 제외하고는 fields 명령어를 잘 사용하지 않는다.
  • ex) index=book sourcetype="linux_secure" Failed
    | fields src_ip, user
• dedup
  • 검색 결과에서 중복을 제거할 때 사용
  • dedup <필드명1>, <필드명2> ...
    • 중복 제거는 지정한 필드를 기준으로 실행
    • 제거하고 싶은 필드명을 dedup 다음에 지정
    • 2개 이상의 필드에서 중복을 제거하려면 쉼표(,)로 구분해서 필드를 나열
  • 주의점
    • 지정한 필드의 중복을 제거하면 다른 필드의 값은 중복이 아닌데도 앞의 중복된 결과를 제거하면서 역시 사라짐
    • 따라서 dedup 명령어는 상세분석이 아니라 해당 필드에 존재하는 값을 확인하는 정도로 사용하는 것을 제안
• sort
  • 검색 결과를 정렬할 때 사용
  • 필드 지정 시 해당 필드 값을 기준으로 정렬
  • 기본 값은 오름차순
    • 내림차순으로 정렬하려면 필드 앞에 마이너스(-) 부호 붙이기
  • sort (+|-) <필드 1> ...
    • ex) index="book" sourcetype="access_combined_wcookie"
      | table clientip, action, productId
      | sort action, -productId
  • 정렬에 사용하는 함수 ip( ), num( )
    • | sort - ip(IP 필드)