Splunk Splunk 7.x Fundamentals Part 1 - Module 8: SPL - Splunk Search Processing Language

V

vantna

Internship/Fresher
Sep 8, 2020
5
2
3
Splunk 7.x Fundamentals Part 1
Module 8: SPL - Splunk Search Processing Language

1.Search Syntax
Ngôn ngữ tìm kiếm được xây dựng từ năm thành phần:

  • The Search Terms(cụm từ tìm kiếm): các từ khóa để tìm kiếm kết quả mong muốn.Ví dụ như: keywords, phrases(cụm từ), các toán từ kết hợp.
  • Commands: Các lệnh cho Splunk biết sẽ làm gì với kết quả tìm kiếm, ví dụ như:, thống kê tính toán, tạo biểu đồ.
  • Functions: là các hàm được splunk hỗ trợ để thực hiện các chức năng như: tính toán và đánh giá kết quả.Xem chi tiết các Command và Functions tại tài liệu:
https://docs.splunk.com/Documentation/Splunk/8.0.6/SearchReference/

  • Arguments(đối số, tham số): các giá trị muốn truyền vào cho hàm.
  • Clauses(mệnh đề): dùng để xác định hoặc nhóm các kết quả dưới dạng dữ liệu mong muốn. Chi tiết xem tại tài liệu:

Understanding SPL syntax - Splunk Documentation

docs.splunk.com docs.splunk.com

image001.jpg


Hai thành phần tìm kiếm này được phân tách bằng pipes. Sử dụng một pipes để yêu cầu Splunk chuyển kết quả của thành phần tìm kiếm một làm đầu vào của thành phần tìm kiếm tiếp theo.



2.Visual Pipeline
Câu lệnh tìm kiếm trở nên trực quan hơn nhiều với bản phát hành splunk 6.5.

Khi nhập các câu lệnh tìm kiếm, splunk sẽ cung cấp các tính năng tự động hoàn thành, và các phần trong câu lệnh tìm kiếm sẽ có màu tự động. Chi tiết như sau:


Toán tử boolean và công cụ sửa đổi lệnh sẽ hiển thị bằng màu cam
image003.jpg



Các câu lệnh-command sẽ hiển thị là màu xanh nước biển.
image004.jpg



Các tùy chọn của lệnh-command arguments sẽ hiển thị là màu xanh lá cây.
image005.jpg



Hàm-Functions hiển thị là màu tím.
image007.jpg



Giúp cho việc dễ dàng xem những câu lệnh đang xảy ra trong tìm kiếm. Khi con trỏ được đặt sau dấu ngoặc đơn trong chuỗi tìm kiếm, 2 dấu ngoặc đơn chứa con trỏ sẽ được tô sáng.
image009.jpg



Ngoài ra, Splunk còn hỗ trợ SPL editor giúp cài đặt giao diện câu lệnh tìm kiếm. Để cài đặt, chọn user, sau đó chọn Preferences.
image010.jpg



Tiếp tục chọn SPL Editor:
image011.jpg



Tại tab General, có tùy chỉnh xuống dòng khi tìm kiếm, và tự động gợi ý định dạng cú pháp tìm kiếm khi type.
image012.jpg



Vào tab Theme, để tùy chỉnh theme:
image013.jpg

  • Black on White: Câu lệnh tìm kiếm là chữ đen, nền trắng.
  • Light Thêm: Câu lệnh tìm kiếm có các màu tùy chọn như trên, nền trắng.
  • Dark Theme: Câu lệnh tìm kiếm có các màu tùy chọn như trên, nền đen.

3.The Search Pipeline

image014.jpg


Khi câu lệnh tìm kiếm Splunk thực hiện, Splunk sẽ đọc kết quả từ đĩa và tạo một bản sao trong bộ nhớ, xóa những sự kiện trong kết quả tìm kiếm mà không khớp với câu lệnh tìm kiếm. Kết quả cuối cùng giống như một bảng tính, chỉ chứa các trường và giá trị bạn đã tìm kiếm. Cùng với việc sử dụng bộ lọc thời gian thời gian cho các sự kiện, với các cụm từ tìm kiếm tối ưu, sẽ làm cho bảng tính nhỏ hơn và câu lệnh tìm kiếm nhanh hơn.

4.Fields Command
Fields command cho phép chọn hoặc loại trừ các fields-trường cụ thể từ kết quả tìm kiếm. Điều này giúp ích khi cần giới hạn các trường được hiển thị và làm cho tìm kiếm chạy nhanh hơn. Để chọn một trường trong kết quả tìm kiếm, thêm tên trường vào sau lệnh fields để làm đối số. Ví dụ

Ví dụ câu lệnh dưới đây, chỉ hiện thị 2 trường “status” and “clientip”:
image016.jpg



Để loại trừ một trường, sử dụng một dấu trừ “-“ sau lệnh fields và trước tên trường cần loại bỏ. Ví dụ với câu lệnh sau đây, trường status và clientip sẽ bị xóa khỏi danh sách trường:
image018.jpg


5.Table command
Lệnh table tương tự như lệnh fields ở chỗ, các trường được chỉ định được giữ trong kết quả tìm kiếm. Nhưng lệnh table khác ở chỗ là nó sẽ hiển thị lại dữ liệu ở định dạng bảng. Ví du: câu lệnh sau sẽ hiển thị giá trị sessionid, tên sản phẩm và giá sản phẩm:
image020.jpg


Để sắp xếp lại thứ tự hiển thị các cột trong bảng, thay đổi thứ tự của các đối số theo thứ tự các cột trong bảng muốn hiển thị.


6.Rename Command
Lệnh rename được sử dụng để đổi tên các trường.

Cùng xem câu search sau:
image022.jpg



Đối với những người lập trình hệ thống, có thể biết rằng JSESSIONID là cookie phiên cho khách hàng thực hiện mua hàng, nhưng đối với những người không trực tiếp làm nên hệ thống, họ sẽ không biết JSESSIONID là gì? Do đó, cần sử dụng lệnh rename để đổi lại thành User Session. Bằng cách sử dụng lệnh rename như sau:

image023.jpg



Ngoài ra cũng có thể sử dụng lệnh rename cho nhiều trường:
image025.jpg



7.Sort Command
Lệnh sắp xếp sẽ cho phép bạn hiển thị kết quả của mình theo thứ tự tăng dần hoặc giảm dần.

Với câu search, tên của các Vendor hiển thị không theo thứ tự:
image027.jpg



Sắp xếp theo tên các Vendor:
image028.jpg



Sắp xếp theo Vendor và tên sản phẩm của các vendor:
image029.jpg




Sắp xếp theo giá bán của sản phẩm, mặc định sẽ sắp xếp theo giá trị tăng dần:
image031.jpg



Câu lệnh “sort sale_price” và “sort + sale_price” là tương đương nhau:
image033.jpg



Để hiện thị theo giá trị giảm dần, thêm dấu “-“ trước trường cần sắp xếp:
image035.jpg




Sắp xếp theo thứ tự trường sale_price giảm dần, Vendor giảm dần. Vì dấu “-“ cách 1 khoảng trắng trước tên trường.

“sort – sale_price Vendor” tương đương với ““sort –sale_price -Vendor”
image036.jpg



Sắp xếp theo giá trị sale_price giảm dần, giá trị Vendor tăng dần:

“sort –sale_price Vendor” tương đương với “sort –sale_price +Vendor”

image037.jpg


8.Deup Command
Bạn có thể sử dụng lệnh deup để loại bỏ các sự kiện trùng lặp khỏi kết quả có chung giá trị. Với câu search dưới đây, kết quả hiện thị các giá trị trùng nhau.


Câu tìm kiếm sau, sẽ xuất hiện 2 event trùng nhau:
image039.jpg




Sau khi bổ sung lệnh dedup, các kết quả trùng lặp đã được loại bỏ:
image041.jpg


Kết bài
Qua bài viết này, chúng ta đã tìm hiểu các nội dung sau:
  • Cấu trúc và thành phần của một câu lệnh tìm kiếm SPL.
  • Các tùy chỉnh SPL editor.
  • Cách các câu lệnh làm việc để có được kết quả.
  • Tìm hiểu câu lệnh Fields.
  • Tìm hiểu câu lệnh Table.
  • Tìm hiểu câu lệnh Rename.
  • Tìm hiểu câu lệnh Sort.
  • Tìm hiểu câu lệnh Dedup.
 

Attachments

  • image001.png
    image001.png
    289.6 KB · Views: 0
  • image003.png
    image003.png
    34.1 KB · Views: 0
  • image004.png
    image004.png
    56.8 KB · Views: 0
  • image005.png
    image005.png
    61.6 KB · Views: 0
  • image007.png
    image007.png
    55.9 KB · Views: 0
  • image009.png
    image009.png
    50.8 KB · Views: 0
  • image010.png
    image010.png
    24.7 KB · Views: 0
  • image011.png
    image011.png
    52.2 KB · Views: 0
  • image012.png
    image012.png
    51.8 KB · Views: 0
  • image013.png
    image013.png
    54.4 KB · Views: 0
  • image041.jpg
    image041.jpg
    116.8 KB · Views: 0
Last edited by a moderator:
You must log in or register to reply here.

Similar Threads

Cấu hình đẩy log của Firewall FortiGate về Splunk
Splunk Cấu hình đẩy log của Firewall FortiGate về Splunk
Replies
0
Views
729
HanaLink
HanaLink
Cấu hình đẩy log ESXi về Splunk
Splunk Cấu hình đẩy log ESXi về Splunk
Replies
0
Views
1K
pluto
pluto
Cấu hình đẩy log server DELL iDRAC về Splunk
Splunk Cấu hình đẩy log server DELL iDRAC về Splunk
Replies
0
Views
861
pluto
pluto
Cấu hình đẩy log vCenter về Splunk
Splunk Cấu hình đẩy log vCenter về Splunk
Replies
0
Views
1K
pluto
pluto
THAY THẾ INDEXER TRONG MÔI TRƯỜNG SPLUNK CLUSTERING
Splunk THAY THẾ INDEXER TRONG MÔI TRƯỜNG SPLUNK CLUSTERING
Replies
0
Views
895
pluto
pluto

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

Home Forums Contact us

User Menu

Login
Top Bottom
Back