Search & Reporting App: Splunk 預設用來搜尋和分析資料的介面。

功能:

• Search Head:用SPL查詢資料的地方
• Time Duration:提供多種選項來選擇搜尋的時間範圍。
• Search History:會儲存使用者過去執行過的搜尋查詢及其執行時間。可以使用篩選功能，根據關鍵字查找特定的查詢。
• Data Summary:提供資料類型、資料來源及產生事件的主機的摘要資訊。
• Field Sidebar:提供快速結果，例如各欄位的熱門值與原始值。
  • Selected Fields:預設擷取source、sourcetype、host等欄位。我們也可以選擇其他重要欄位加入列表中。
  • Alpha-numeric fields:表示該欄位包含文字型資料。
  • Numeric fields:表示該欄位包含數值型資料。
  • Count:欄位旁的數字表示在所選時間範圍內該欄位出現的事件數量。

SPL 的主要組成部分：

Search Field Operators:

• Comparison Operators: =,!=, < ,<=, >,>=
• Wildcards: * (匹配字串中的任意字元)
• Boolean Operators:NOT ,OR ,AND

SPL指令

• 過濾類:
  • fields:用來新增(+)或移除(-)搜尋結果中的欄位。
  • search:搜尋所有包含特定字串的事件。
  • dedup:用來移除搜尋結果中重複的欄位值，僅保留唯一值。
  • rename:可更改搜尋結果中欄位的名稱。
• 排序類:
  • table:根據需要選擇特定欄位來建立表格作為輸出，忽略其他欄位。
  • head:回傳搜尋結果的前幾筆事件。如果未指定則預設回傳前 10 筆。
  • tail:回傳搜尋結果的最後幾筆事件。如果未指定則預設回傳最後 10 筆。
  • sort:用來將搜尋結果依照指定欄位排序，可為升冪或降冪。
  • reverse:將搜尋結果的順序反轉。
• 轉換類:
  • 一般轉換型:
    • top:回傳出現最頻繁的前幾個欄位值，預設為前 10 名。
    • rare:回傳出現最少的欄位值（最不常見的項目），預設為最少的 10 筆。
    • highlight:用於原始事件raw event模式中，高亮顯示指定欄位。
  • 統計型(stats):
    • avg:計算欄位的平均值
    • max:顯示欄位的最大值
    • min:顯示欄位的最大值
    • sum:計算欄位值的總和
    • count:統計出現的次數
  • 圖表型(通常配合stats相關指令):
    • chart:將結果轉換成表格或圖表格式。
    • timechart:產生時間序列圖表，根據時間呈現欄位的統計資料。