當(dāng)前位置：首頁 > 编程资源 > 综合教程 >内容正文

综合教程

splunk 多个数据关联查询

發(fā)布時間：2023/12/15 综合教程 32 生活家

生活随笔收集整理的這篇文章主要介紹了 splunk 多个数据关联查询小編覺得挺不錯的,現(xiàn)在分享給大家,幫大家做個參考.

splunk是當(dāng)下比較火的大數(shù)據(jù)分析工具，可以收集日志數(shù)據(jù)、性能數(shù)據(jù)、網(wǎng)絡(luò)數(shù)據(jù)包。這些數(shù)據(jù)都是一些非結(jié)構(gòu)化的數(shù)據(jù)，我們可以統(tǒng)一將這些數(shù)據(jù)統(tǒng)一采集到splunk之后，splunk可以對這些數(shù)據(jù)進行索引、調(diào)查、監(jiān)控、可視化，告警等等。

還可以做一下機器學(xué)習(xí)訓(xùn)練等操作，非常方便。

之前的都是比較簡單的查詢，例如查詢IPS的流量，統(tǒng)計某個用戶訪問網(wǎng)站頻率，攻擊頻率等等。

splunk有多個數(shù)據(jù)集，mysql這種就很好做關(guān)聯(lián)查詢了，left jion 等等，查了資料整理如下，給需要的人參考。

SQL command	SQL example \| Splunk SPL example	備注
SELECT *	SELECT * FROM mytable source=mytable	source就相當(dāng)于table
WHERE	SELECT * FROM mytable WHERE mycolumn=5 source=mytable mycolumn=5
SELECT	SELECT mycolumn1, mycolumn2 FROM mytable source=mytable \| FIELDS mycolumn1, mycolumn2	通過fields可以規(guī)定查詢哪幾列
AND/OR	SELECT * FROM mytable WHERE (mycolumn1="true" OR mycolumn2="red") AND mycolumn3="blue" source=mytable AND (mycolumn1="true" OR mycolumn2="red") AND mycolumn3="blue"
AS (alias)	SELECT mycolumn AS column_alias FROM mytable source=mytable \| RENAME mycolumn as column_alias \| FIELDS column_alias	rename關(guān)鍵字
BETWEEN	SELECT * FROM mytable WHERE mycolumn BETWEEN 1 AND 5 source=mytable mycolumn>=1 mycolumn<=5
GROUP BY	SELECT mycolumn, avg(mycolumn) FROM mytable WHERE mycolumn=value GROUP BY mycolumn source=mytable mycolumn=value \| STATS avg(mycolumn) BY mycolumn \| FIELDS mycolumn, avg(mycolumn )	stats對結(jié)果分組，并取平均值
LEFT (OUTER) JOIN	SELECT * FROM mytable1 LEFT JOIN mytable2 ON mytable1.mycolumn= mytable2.mycolumn source=mytable1 \| JOIN type=left mycolumn [SEARCH source=mytable2]	[SEARCH..]相當(dāng)于一個子查詢了，然后進行連接
TRUNCATE TABLE	TRUNCATE TABLE mytable source=mytable \| DELETE
UNION	SELECT mycolumn FROM mytable1 UNION SELECT mycolumn FROM mytable2 source=mytable1 \| APPEND [SEARCH source=mytable2] \| DEDUP mycolumn	APPEND相當(dāng)于將當(dāng)前查詢與子查詢組合起來
UNION ALL	SELECT * FROM mytable1 UNION ALL SELECT * FROM mytable2 source=mytable1 \| APPEND [SEARCH source=mytable2]	區(qū)別在于，不需要去重字段

在表關(guān)聯(lián)查詢中，示例使用的是字段相同的，但是我的比較特殊，沒有字段關(guān)聯(lián)名稱關(guān)聯(lián)，但是我確認字段的值是關(guān)聯(lián)的。

index="數(shù)據(jù)集1"  category="類別" | stats count as "訪問次數(shù)" BY srcuser|join type=left srcuser [SEARCH index="數(shù)據(jù)集2" |rename ldap_id as srcuser]|table srcuser "訪問次數(shù)" mail_id,user_cname,user_email,user_deptpath,user_dept1,leader_ldap,leader_email,leader_cname

總結(jié)

以上是生活随笔為你收集整理的splunk 多个数据关联查询的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。

上一篇： python3（十四）Python 异常
下一篇：机器学习实战（九）树回归

3atv精品不卡视频,97人人超碰国产精品最新,中文字幕av一区二区三区人妻少妇,久久久精品波多野结衣,日韩一区二区三区精品

综合教程

splunk 多个数据关联查询

總結(jié)