Splunk_常用关键字函数(施工中。。。)

Posted congxinglong

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Splunk_常用关键字函数(施工中。。。)相关的知识,希望对你有一定的参考价值。

只展示查询结果中的前10000条日志.

| head 10000

eval if in

如果 字段1 的值为"a","b","c"中的任意一个,则 新字段1 的值为"结果1",否则 新字段1 的值为"结果2".

| eval 新字段1=if(字段1 in ("a","b","c"),"结果1","结果2")

iplocation

生成IP对应的地区信息,会在结果中加入 Country,City 两个字段用来标明日志中IP的所在地.

| iplocation ip
| table Country,City,ip

以上是关于Splunk_常用关键字函数(施工中。。。)的主要内容,如果未能解决你的问题,请参考以下文章

Splunk通过正则表达式提取关键字

sql面试题_SQl优化技巧_1注意通配符中like的使用,百分号放后面_2避免在where子句中对字段进行函数操作_3在子查询当中,尽量用exists代替in_4where子句中尽量不要使用(代码片

Splunk 会议回想: 大数据的关键是机器学习

Splunk的客户端该怎么配置?Splunk的服务器端有没有中文版的

漏洞复现-splunk-信息泄露vulfocus/splunk-cve_2018_11409

CSAPP lab2 二进制拆弹 binary bombs phase_5 施工中