--

Splunk 基础

0. Splunk 的安装

可以从下面地址来下载 Splunk，版本是 6.2.2
https://www.splunk.com/page/previous_releases

splunk tutorial：
http://docs.splunk.com/Documentation/Splunk/latest/SearchTutorial/WelcometotheSearchTutorial

比较建议在你自己的 PC 上面安装 Splunk。

安装好之后，会提示你需要更换用户名

---

1. 启动并登录 Splunk
打开浏览器输入 localhost:8000

2. 载入文件
载入的 csv 文件可以在下面找到 csv
选择 source type 为 csv
选择 next，直到 submit

3. 搜索
Splunk 为你写了一条默认的 search 语句

source="census.csv" host="DESKTOP-K1NJT4U" sourcetype="csv"

会显示如下的内容：


4. 过滤
你可以在 search 语句中添加：

STNAME = "Texas"

或者

STNAME = "Califonia" OR STNAME = "Texas"

对于输出的内容，我们可以用管道 | 来进行管理，这里 | 的含义和 linux 命令中的管道差不多

  
source="census.csv" host="DESKTOP-K1NJT4U" sourcetype="csv" STNAME = "Texas" | table CTYNAME

这样只显示 CTYNAME 这个条目了。

5. 排序 可以添加更多的操作，比如排序

CENSUS2010POP > 10000 | sort CENSUS2010POP desc | table CENSUS2010POP, STNAME
CENSUS2010POP > 10000 | sort -CENSUS2010POP | table CENSUS2010POP, STNAME

这里 desc 与 -的作用是一样的

6. 图表
点击 visulization 可以输出图


7. 统计分析
比如计算 count， 输出 data 的数目

 | stats count 

统计总和以及均值

| stats sum(CENSUS2010POP)
| stats mean(CENSUS2010POP)

7. 数据透视表 pivot table
可以从下面的页面获取信息： http://docs.splunk.com/Documentation/Splunk/6.2.2/PivotTutorial/WelcometothePivotTutorial