2022. 4. 8. 16:05ㆍ빅데이터 분석/Splunk
Splunk Quick Guide 문서를 참고하여 공부한 기록입니다.
https://www.splunk.com/pdfs/solution-guides/splunk-quick-reference-guide.pdf
정확하지 않은 정보가 있을 수 있으니 참고해주세요.
각 command에 대한 보다 상세하고 정확한 정보는 공식문서에 나와있습니다.
https://docs.splunk.com/Documentation/Splunk/8.2.3/SearchReference/ListOfSearchCommands
| chart
by 절에서 선택한 기준에 따른 통계결과를 테이블 형태로 반환하며 차트시각화 할 수 있다.
index=인덱스명 sourcetype=소스타입명
| table _time USERID
| chart count by USERID출력결과 example ▼
| USERID | count |
| pororo | 26 |
| dororo | 31 |
| totoro | 17 |
| keroro | 9 |
| timechart
시계열 단위를 기본으로 한 통계결과를 테이블 형태로 반환하며 차트시각화 할 수 있다.
이 때 통계에 반영할 기준을 by 절로 추가할 수 있다.
index=인덱스명 sourcetype=소스타입명
| table _time USERID
| timechart count span=1d by USERID출력결과 example ▼
| _time | pororo | dororo | totoro |
| 2022/04/01 | 12 | 6 | 14 |
| 2022/04/02 | 6 | 8 | 22 |
| 2022/04/03 | 0 | 17 | 3 |
| 2022/04/04 | 9 | 19 | 4 |
| dedup
선택한 기준에 부합하는 결과 중 첫번째를 제외한 나머지들을 제거한다.
| DEPTNAME | USERID | TYPE |
| 개구리중사 케로로 | keroro | 애니메이션 |
| 개구리중사 케로로 | dororo | 애니메이션 |
| 이웃집 토토로 | totoro | 애니메이션 |
| 이웃집 토토로 | cat_bus | 애니메이션 |
출력결과 example 1 ▼
index=인덱스명 sourcetype=소스타입명
| table DEPTNAME USERID TYPE
| dedup DEPTNAME| DEPTNAME | USERID | TYPE |
| 개구리중사 케로로 | keroro | 애니메이션 |
| 이웃집 토토로 | totoro | 애니메이션 |
출력결과 example 2 ▼
index=인덱스명 sourcetype=소스타입명
| table DEPTNAME USERID TYPE
| dedup TYPE| DEPTNAME | USERID | TYPE |
| 개구리중사 케로로 | keroro | 애니메이션 |
| makeresults
특정값이나 데이터를 임시로 생성한다.
| streamstats
각 이벤트에 대한 누적 통계연산 결과를 출력한다.
| eval
각종 function 적용값에 컬럼명을 부여하며 통계결과에 추가할 수 있다.
| makeresults count=4
| streamstats count
| eval DEPTNAME = case(count=1, "개구리중사 케로로", count=2, "개구리중사 케로로", count=3 OR count=4, "이웃집 토토로")
| eval USERID = case(count=1, "keroro", count=2, "dororo", count=3, "totoro", count=4, "cat_bus")
| eval TYPE = "애니메이션"출력결과 example ▼
| DEPTNAME | USERID | TYPE | count |
| 개구리중사 케로로 | keroro | 애니메이션 | 1 |
| 개구리중사 케로로 | dororo | 애니메이션 | 2 |
| 이웃집 토토로 | totoro | 애니메이션 | 3 |
| 이웃집 토토로 | cat_bus | 애니메이션 | 4 |
| stats
command 내의 옵션들을 사용하여 각종 통계치를 구할 수 있다.
| stats count as cnt sum(count) as hap by DEPTNAME출력결과 example ▼
| DEPTNAME | cnt | hap |
| 개구리중사 케로로 | 2 | 3 |
| 이웃집 토토로 | 2 | 7 |
| transaction
검색 결과를 트랜잭션으로 그룹화시킬 수 있다.
그룹화시킬 범위를 옵션으로 지정할 수 있다.
| transaction DEPTNAME TYPE출력결과 example ▼
| DEPTNAME | TYPE | USERID | count | eventcount | .... |
| 이웃집 토토로 | 애니메이션 | cat_bus totoro |
3 4 |
2 | ... |
| 개구리중사 케로로 | 애니메이션 | dororo keroro |
1 2 |
2 | ... |
| rex
특정 문자열을 정규식 등을 사용하여 치환할 수 있다.
| rex field=DEPTNAME mode=sed "s/이웃집/우리집/g"출력결과 example ▼
| DEPTNAME | TYPE | USERID |
| 개구리중사 케로로 | 애니메이션 | keroro |
| 개구리중사 케로로 | 애니메이션 | dororo |
| 우리집 토토로 | 애니메이션 | totoro |
| 우리집 토토로 | 애니메이션 | cat_bus |
'빅데이터 분석 > Splunk' 카테고리의 다른 글
| [Splunk] KV store와 MongoDB (0) | 2022.09.25 |
|---|---|
| [Splunk] DB Connect로 데이터 연동하기 (db_inputs.conf) (0) | 2022.09.07 |
| [Splunk] DB Connect 3.9.0 에서의 JDBC (0) | 2022.09.05 |
| [Splunk] 스플렁크에서 MariaDB 데이터 연동하기 (DB Connect) (0) | 2022.08.29 |
| [Splunk] DMC 설정 (Monitoring console) (0) | 2022.07.05 |