Splunk SPL for SQL users (二)

原创
2020/10/21 11:28
阅读数 57

这不是SQL和Splunk搜索处理语言(SPL)之间的完美映射,但是如果您熟悉SQL,则此快速比较可能有助于快速使用搜索命令。

SQL旨在搜索由列组成的关系数据库表。 SPL旨在搜索由字段组成的事件。在SQL中,您经常会看到使用“ mytable”和“ mycolumn”的示例。在SPL中,您将看到引用“ fields ”的示例。在这些示例中,“ source ”字段用作“ table ”的代理。在Splunk软件中,“ source ”是文件,流或其他输入的名称,特定数据源自该文件,流或其他输入,例如 /var/log/messages 或 UDP:514 。

从任何一种语言翻译成另一种语言时,由于原始语言的成语,翻译时间通常较长。下面显示的某些Splunk搜索示例可能更简洁,但出于并行性和清晰度的考虑,SPL表和字段名称与SQL示例保持相同。

SPL搜索很少需要FIELDS命令来过滤出列,因为用户界面提供了一种更方便的过滤方法。 SPL示例中使用FIELDS命令实现并行性。

使用SPL,您无需在布尔搜索中使用AND运算符,因为在术语之间暗含AND。但是,当您使用AND或OR运算符时,必须以大写形式指定它们。

SPL命令不需要大写。在这些SPL示例中,命令以大写形式指定,以便于识别和清楚说明

 

 
 
展开阅读全文
打赏
1
0 收藏
分享
加载中
更多评论
打赏
0 评论
0 收藏
1
分享
返回顶部
顶部