在dashbaord中有時可能多個panel裡會使用一些共同的源資料,這時我們可以把這些查詢共同資料的**提取出來作為base search,然後在各個panel spl裡引用。
eg:定義base search:
//這裡要指定id,後面才可以引用這個id
index="aaa" sourcetype="bbb" ... //將公共的查詢語句寫在這裡
0 //這裡根據自己的業務情況來指定查詢的時間範圍,這裡定義的是all time。需要注意的是這裡必須指定time range,否則在後面引用的時候再指定各自panel的time range時會報錯。
引用base search:
//這裡的base值就是前面定義的base search的id,表示引用指定的base search
| eval age=..... | ... //在具體的panel中query直接接著base search後面的語句寫就可以了,這裡就是針對各自業務邏輯寫的差異化的spl
使用splunk base search的缺點就是這個spl片段只能是作為引用的前半部分,也就是說在panel中引用時只能把base search放在前面作為基礎**,不可以在spl中間引用base search,這和我們通常使用的資料庫中的sql片段的使用有些差別。
Splunk架構學習筆記
1.splunk架構 可以通過cli,web介面,以及其它介面來實現對splunk的管理 2.splunk indexer 集群架構 master節點 告訴search head節點去 得到資料,並管理peer節點以及對peer節點進行健康檢查 search head節點 對peer節點上的資料進行...
Splunk推出 AI功能
splunk 公司宣布其產品組合推出全新 或增強的人工智慧 ai 功能,幫助客戶使用 splunk 解決方案提高盈利能力 效能和安全性。同時,splunk 還通過開源軟體和原生雲技術擴充套件整合功能。splunk cloud 和splunkenterprise 7.1 通過機器學習提供 ai,幫助客...
Splunk學習心得
1.安裝splunk 首先建立乙個splunk使用者組,建立splunk使用者,並且放在 opt splunk目錄下 root iz28hzo5igsz groupadd splunk root iz28hzo5igsz useradd d opt splunk m g splunk splunk ...