Splunk搜索案列介绍

1，index=mtparam sourcetype=MT_BASERV_HEALTH 

　　| rex field=_raw "baserv UID ===> (?<hostname>\S+)"
　　| search hostname=HIWMESCBETA02
　　| rex field=_raw "baserv Category ===> (?<category>\S+)"
　　| eval category=replace(category, "^/HIROSHIMA/.../MFG/", "")
　　| rex field=_raw "DSS Avg Utilization ===> (?<util>\d+)"
　　| timechart avg(util) by category useother=false

解释：index：索引

　　　sourcetype：source的类型

　　　rex：提取命令

　　　执行使用Perl正则表达式命名的组的字段提取

　　　Sed：也可以通过 Sed 表达式替换或取代字段中的字符。
　　　regex ：将删除与指定正则表达式不匹配的结果

　　　(?<name>) 分组起别名

　　　rex field=_raw "baserv UID ===> (?<hostname>\S+)"   作用就是匹配正则，并把匹配的内容作为新的field，名为hostname。 \S：匹配任何非空白字符，+：匹配前一个字符出现1次或者无限次，即至少有1次

　　　eval 评估命令。

　　　该eval命令计算一个表达式并将结果值放入搜索结果字段
　　　如果您指定的字段名称与输出中的字段不匹配，则将新字段添加到搜索结果中。 如果您指定的字段名称与搜索结果中已经存在的字段名称匹配，则eval表达式的结果将覆盖该字段中的值。