最重要資料:
入門基礎:http://docs.splunk.com/Documentation/Splunk/6.5.2/SearchTutorial/WelcometotheSearchTutorial
查詢語句寫法:http://docs.splunk.com/Documentation/Splunk/6.5.2/SearchReference/WhatsInThisManual
其他:在上面的鏈接右上角直接輸入關鍵字查詢即可
1.查找昨日數據中sum(total_count)最多的10個id,並顯示這10個id的sum(total_count)隨時間的變化
source="/home/splunk/test_data/test.csv" [search source="/home/splunk/test_data/test.csv" earliest=-d |stats sum(total_count) by id|sort 10 -sum(total_count)|table id]|timechart sum(total_count) bins=1000 by id
2.查詢昨日數據按id的統計信息,注意null處理
source="/home/splunk/test_data/test.csv" earliest=-d|fillnull value=null |stats sum(total_count) by id
3.數據刪除, 注意必須要通過有can_delete屬性的角色來刪除
source="/home/splunk/test_data/test.csv"|delete
4.自動讀取新數據。設置-數據輸入-文件和目錄 監控指定文件or目錄, 用例行任務更新對應目錄或者文件即可。 其實還可以直接調用腳本,但我試驗失敗了。
5.查找data是空值的記錄
sourcetype="csv" | fillnull value=NULL|search data=NULL