스플렁크 메모

중복 제거 : dc(x)

필드끼리 계산 : eval x=y+z

_time 다듬기 : eval date=strftime(_time, "%Y-%m-%d")

필드명 변경 : rename x as y

정렬 : sort [n] -x (+는 오름차순, -는 내림차순 / n은 출력 개수)

통계 : stats first(x) (x필드의 첫번째 행 값)

필드 제거 : fields - x

특정 필드만 표시 : table x y

스파크라인 : chart sparkline(x)

필터링 : search a<600

추체선 추가 (단순 이평선 30일) : trendline sma30(x)

NULL 미표시 및 OTHERS 10개 제한 풀기 : timechart usenull=f span=1d count by lang limit=15

지역으로 보기 : iplocation clientip | stats dc(clientip) by Country

필드 병합 (null 무시) : eval merge = mvappend(x,y)

차트 합산 : append [ search host ...]

조회 기간 설정 : host="..." sourcetype="..." "test/action" earliest=-3mon@mon latest=@mon

상대 시간 : -3d@d 처럼 골뱅이 사용하면 n일 전 00:00 부터 시작

여러 필드 합산 : addtotals fieldname="total"

행과 열 교체 (회전) :  transpose (헤더 지정하려면 header_field=column 처럼 옵션 추가)

 

---

 

요약 인덱스 사용 법 (링크)

수동 추가

host="" ... | collect index="summary" marker=flag=daily

불러오기

index="summary" flag=daily | ...

삭제

index="summary" flag=daily | delete

기타

sitimechart, sistats 사용시 성능상 이득 (링크)

 

---

 

!= vs NOT

NOT은 필드가 없는 NULL값도 가져옴 (링크)

 

---

 

검색 속도

!=는 값이 있는 것 중에서 제외하기 때문에 NOT 보다 더 빠름 (링크)

와일드 카드 대신 OR 속도가 더 빠름 (링크)

 

---

 

stats 를 timechart로 변환 (링크) - _time 항목 필요함

index="summary" flag=test 
| stats sum(dc(clientip)) as count by type, _time
| timechart span=1d sum(count) as count by type