IT 专业搜索引擎 欢迎使用splunk 3.3 第一节:简介 使用手册 入门学习 不是用来自学的文档,需要老师指导 不需要分发 课程目标 理解什么是 splunk 以及他是如何工作 了解 splunk w eb 如何浏览搜索结果 理解 splunk 搜索语言 创建现有搜索条件和警示 收集和分享团队使用标记和其他技术的相关知识 采用最实用的练习 知道在那儿,如何获得帮助 Splunk 能做什么 索引 搜索 报警 报表 共享 延伸能力 延伸能力 延伸能力 安全性 第二节 访问splunk Splunk 访问方式 Splunk w eb 接口 命令行接口 应用程序级脚本 Splunk 工具条 用户角色与权限 不同的用户类型对应不同的访问权限 Splunk 系统管理员能改变用户类型 普通用户 ·不能搜索其他用户历史,或内部索引 ·不能创建警报 ·不能定义用户,增加数据 ·不能标记 权限用户 ·能搜索其他用户历史,或内部索引 ·能创建警报 ·不能定义用户,增加数据 系统管理员 ·能做权限用户做的任何事情 ·能创建新用户 ·能导入数据 ·其他更多 超级管理员 ·能定义角色 Splunk w eb 主界面 登录页面 ·首先映入眼帘是图表,报表和搜索结果 缺省界面 ·连接到指南 ·有用搜索 完整配置 ·创建全新 ·你能个性化定制 ·管理员配置 搜索框 任何类型事情,――就像一个 w eb 搜索引擎 ·允许限制时间范围 ·一些有益建议 a. 搜索内容加入前导通配符“*”这样就不受限制你想要的结果 b. 如果搜索一个问题,试试 “fail*”or “error” c. 类型前尽可能少的字符 d. 试试任何你期望的文字:名字,IDs,email IP等 逐项搜索 在搜索事件加入任何事项或关键字 关键字不区分大小写 通配符 ·能用在任何地方 ·*,fail*,*fail* 引号标记 ·搜索短语 ·“foo bar“ 创建搜索 支持多关键字,无需在关键字中间加AND ·例如 error failed 404 布尔运算 必须大写(AND,OR,NOT) 在OR 和复杂表达式之间用圆括号 ·“au thentication failu re” AND (u ser =root OR USER = TEST ) 赋值顺序:(),OR,AND,NOT 限制为索引搜索 搜索修饰 索引 = 索引名 ...
