今天,來講講 Splunk SPL vs Elastic Stack 吧。
本篇的主題包含有:
那我們就開始吧!
首先我們先來簡單聊聊兩個星球上的異同吧:
而在搜索的時候,兩者皆有範圍搜索(Scoping search)的概念,都需要先指定索引(index)。
先來把兩個簡稱的全名說明一下:
第一眼可以看到在 Elastic 的 KQL 中,從 SPL 使用等號,變為 KQL 使用冒號。
然而更重要的,也是聰明的你會問的,agent
和 agent.keyword
的差別是?
這也是一開始困擾我的問題,原來是一個會直接被拿來建立索引(agent.keyword
,不分析,不會 tokenize),另一個建立索引前會先分析後才建立索引(agent
,會 tokenize)
在前 N 個分析上,Splunk 會用 top 和 limit 的指令。
在昨天的實作時,我們有練習怎麼畫出直方圖,而下面可以看到如果使用 SPL 的話要使用比較沒那麼簡易的方式:
而如果有一起操作的同鞋,對於昨天有一塊部分應該會有點困惑,就是右邊那些 Bucket、Metric 到底是指什麼,在做什麼事情?
簡單扼要的可以這樣解釋:
在 Aggregation 中,我們可以注意到:
今天簡單講講 Splunk SPL vs Elastic Stack,因為我自己本身也沒有用過 Splunk SPL,更詳細的比較有興趣的看倌可以再參考網路上許多的比較文章,下面列了一些我覺得不錯的給大家參考看看!
明天開始我們就要進入安全性相關的一系列篇章啦!初章:確保 Elasticsearch 安全的基礎。