Splunk SDK for Python如何在获取结果时指定所有(自定义)字段

已于 2023-11-27 16:50:10 修改
阅读量732 收藏 2
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 杂说 文章标签: python
于 2022-05-19 18:28:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Slience_Jhon/article/details/124868477
本文档介绍了如何使用Splunk SDK进行日志分析,详细阐述了如何配置连接参数,调整搜索参数以获取包括默认字段、事件解析字段和自定义字段在内的所有数据。通过设置`exec_mode`为`blocking`和`rf`为`*`,确保能检索到完整的事件信息,从而避免仅依赖原始日志数据进行分析的问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

背景:最近在做日志分析相关开发,需要通过SDK对接splunk,拿到其中符合条件的syslog作进一步分析,但是在用splunk官方的SDK创建搜索并获取结果后发现,接口上获取到的数据相比于界面上搜索的内容多了一些内置字段,但是没办法看到界面上从事件中解析出来的字段并进行相应操作,这样导致只能拿到_raw字段中的原始日志进行分析,不能达到预期效果,于是翻阅了splunk接口文档以及rest api说明,通过参数调整能够拿到对应事件所有的字段(包括splunk默认字段及自动从事件中解析出的字段,还有自定义提取的字段),demo如下所示。

# pip install splunk-sdk
import splunklib.client as client
import splunklib.results as results

# splunk连接配置
connect_config = {
    "scheme": "https",
    "host": "192.168.100.10",
    "port": 8089,
    "autologin": True,
    "username": "admin",
    "password": "P@ssw0rd"
}

"""
splunk搜索配置,其中exec_mode为blocking表示阻塞获取,即等待查询完成后再接收返回的job对象
rf是指此次查询所需要的字段,具体参照splunk rest api中search/jobs的post参数说明[https://docs.splunk.com/Documentation/Splunk/8.2.6/RESTREF/RESTsearch#search.2Fjobs]
tips:在splunk中,如非特殊指定某索引的默认字段,则默认返回 host, source和source type这三个字段(以及其他内置字段),详见字段说明[https://docs.splunk.com/Documentation/Splunk/8.2.6/Search/Usefieldstoretrieveevents]
至于事件(splunk中的某一条数据可以理解为一个事件)中解析出来的字段,则不会在api接口中显式地返回(页面上也是通过选择字段实现额外展示),
而在创建job时若在rf参数中指定了"*",则表示此次查询返回默认字段、事件中解析出来的字段以及事先提取的自定义字段(提取字段时需要设置好该字段的用户权限及应用范围),
若不显式设置,只返回默认字段及其他内置字段
"""
splunk_search_kwargs  = {"exec_mode": "blocking", "rf":"*"}

# 创建splunk连接
splunk_client = client.connect(**connect_config)
# 构造splunk搜索语句
search_query_blocking = "search index=syslog | head 2"
# 创建搜索job
splunk_search_job = splunk_client.jobs.create(search_query_blocking, **splunk_search_kwargs)
"""
接收返回的结果,其中splunk_search_job.results(output_mode="json", f="*")的output_mode设为json是为了
将job的结果以json格式输出,然后用results库中的JSONResultsReader解析出来,
而f参数是指拿取结果时,要提取哪些在rf中指定的字段返回,默认是全部返回,若指定则用逗号分隔,详见search/jobs/{search_id}/results说明[https://docs.splunk.com/Documentation/Splunk/8.2.6/RESTREF/RESTsearch#:~:text=search_id%7D%20search%20events.-,search/jobs/%7Bsearch_id%7D/results,-https%3A//%3Chost%3E%3A%3CmPort]
"""
results = results.JSONResultsReader(splunk_search_job.results(output_mode="json", f="*"))
for result in results:
    print(result)
ABAP 中的 Splunk 对等工具:Application Log 与系统日志的深入对比
2007 年 ~ 2025 年,深耕 SAP 技术 18 年
05-26 49
Splunk 是一个大数据平台,旨在收集、索引并实搜索机器生成的数据,包括服务器日志、应用日志、网络设备数据等,提供可视化仪表盘和告警机制,以便运维、安全和业务团队快速定位问题并进行深入分析(SplunkStatsig它通过 Universal Forwarder 或 HTTP Event Collector(HEC)将数据摄入,再经索引器(Indexer)解析存储,最后由搜索头(Search Head)执行分布式查询,并汇总结果呈现给用户(SplunkSplunk
splunk-sdk-python:适用于PythonSplunk软件开发套件
04-13
适用于PythonSplunk企业软件开发套件 版本1.6.15 适用于PythonSplunk企业软件开发套件(SDK)包含库代码和示例,旨在使开发人员能够使用Splunk平台构建应用程序。 Splunk平台是一个搜索引擎和分析环境,它使用分布式map-reduce体系结构来有效地索引,搜索和处理大型变数据集。 Splunk平台在系统管理员中很流行,用于聚合和监视IT机器数据,安全性,合规性以及各种各样的其他场景,这些场景共享有效的索引,搜索,分析并从大量信息中实生成通知的要求。间序列数据。 Splunk开发人员平台使开发人员可以利用Splunk平台所使用的相同技术来构建令人兴奋的新应用程序。 Splunk SDK for Python入门 开始使用适用于PythonSplunk Enterprise SDK 适用于PythonSplunk Enterprise
Splunk SDK for Python 使用教程
gitblog_01187的博客
08-15 610
Splunk SDK for Python 使用教程 项目介绍 Splunk SDK for Python 是一个用于与 Splunk 平台交互的软件开发工具包。Splunk 平台是一个搜索引擎和分析环境,使用分布式 map-reduce 架构来高效地索引、搜索和处理大量间序列数据。该 SDK 允许开发者利用 Splunk 平台的技术来构建新的应用程序,适用于系统管理员进行 IT 机器数据的聚合...
Splunk SDK for Python 常见问题解决方案
最新发布
gitblog_00673的博客
11-05 527
Splunk SDK for Python 常见问题解决方案 项目基础介绍 Splunk SDK for Python 是一个用于与 Splunk 平台交互的软件开发工具包(SDK)。Splunk 平台是一个搜索引擎和分析环境,采用分布式 map-reduce 架构,能够高效地索引、搜索和处理大规模间序列数据集。该 SDK 主要使用 Python 编程语言编写,旨在帮助开发者构建基于 Splun...
Splunk-SDK-Python学习
韦人人韦
09-16 5804
Splunk 最近在公司实习用到了splunk,需要调用splunk sdk进行一些简单的开发,目前把我这个星期的一些体会记录下。 什么是splunk 简单来说,Splunk是一个托管的日志文件管理工具,它的主要功能包括: · 日志聚合功能 · 搜索功能 · 提取意义 · 对结果进行分组,联合,拆分和格式化 · 可视化功能 · 电子邮件提醒功能 而目前我通过splunk s
splunk编写自定义命令
Jepson的博客
07-17 964
编写splunk自定义命令
Splunk二次开发使用Python 编写自定义搜索命令
ffjl1985的专栏
03-31 2950
前言本文的目标是让读者对Splunk编写自定义搜索命令有个基本的概念,并不是详尽的开发指南。自定义搜索命令简介Splunk Spl语言是将Splunk的一系列搜索命令组织成数据处理的管道,如下图所示,提供了140多种搜索命令,基本覆盖了日常对数据处理的各种场景。其中search命令是SPL语言的默认命令,可以不明确的写在语句中。  但是在日常使用的过程中,有很多特殊的应用场景中,我们需要根据业务逻...
Splunk_智能运维实战(高清带详细目录书签)
04-10
第10章介绍如何自定义Splunk应用程序并使用Splunk SDK和API的高级特性来处理Splunk内的数据。 目录 译者序 前言 第1章 游戏间——导入数据 1 1.1 简介 1 1.2 索引文件和目录 2 1.3 从网络端口获取数据 7 ...
Splunk 体系介绍
热门推荐
ffjl1985的专栏
11-08 1万+
Splunk总体介绍 Splunk是什么     Splunk是一个分析计算机系统产生的机器数据,并在广泛的场景中提供数据收集、分析、可视化分布式的数据计算平台。 Splunk 是一个数据引擎。 针对所有IT系统和基础设施数据, 提供数据搜索、报表和可视化展现。 Splunk是软件 – 5分钟就可以下载和安装。 可以运行在各种主流的操作系统平台。  Splunk做什么
searchsplunk:从Python轻松创建Splunk搜索并将结果作为Python对象获取
05-15
搜索SplunkPython轻松创建Splunk搜索并将结果作为Python对象获取 需要 请求> = 2.7.0: : 安装说明 可以从PyPi安装 。 pip install searchsplunk 使用说明 from searchsplunk . searchsplunk import SearchSplunk s = SearchSplunk ( 'https://splunk.acme.com:8089' , 'MYUSER' , 'MYPASS' , ssl_verify = True ) result = s . search ( 'sourcetype=salt:grains openstack_uid=e0303456c-d5a3-789f-ab68-8f27561ffa0f | dedup openstack_uid' ) import json pri
Python-splunk微信告警脚本
08-10
splunk微信告警脚本
splunk-sdk-java:Splunk Java软件开发套件
05-28
适用于Java的Splunk企业软件开发套件 版本1.6.5 Java的Splunk企业软件开发套件(SDK)包含库代码和示例,旨在使开发人员能够使用Splunk平台构建应用程序。 Splunk平台是一个搜索引擎和分析环境,它使用分布式map-reduce体系结构来有效地索引,搜索和处理大型变数据集。 Splunk平台在系统管理员中很流行,用于聚合和监视IT机器数据,安全性,合规性以及各种各样的其他场景,这些场景共享有效的索引,搜索,分析并从大量信息实生成通知的要求。间序列数据。 Splunk开发人员平台使开发人员可以利用Splunk平台所使用的相同技术来构建令人兴奋的新应用程序。 有关更多信息,请参见Splunk开发人员门户上的 。 Splunk Enterprise SDK for Java入门 Splunk Enterprise SDK for Java包含库代码和示
splunk api手册
10-18
splunk6.0的相关说明文档。繁体中文。
Splunk SDK for JavaScript
Swime的博客
08-04 258
官方详细使用说明:http://dev.splunk.com/view/SP-CAAAEFN 一、服务器端搭建nodejs环境 搭建步骤参考:https://blog.csdn.net/web_xyk/article/details/81172056 注意:请安装10以上的版本 二、引入SDK包 将Splunk SDK For JavaScript包解压放在服务器端,进入sdk目录,启动服务:node sdkdo runsever,访问 http://ip:6969/examples/br
探索 Splunk SDK for Python:高效日志管理和数据分析工具
gitblog_00055的博客
04-14 848
探索 Splunk SDK for Python:高效日志管理和数据分析工具 则是 Splunk 提供的官方 Python 开发工具包,旨在帮助开发者更便捷地与 Splunk 服务进行交互,构建基于 Splunk 的应用程序。 项目概述 Splunk SDK for Python 提供了一个全面的功能集,包括创建、更新和检索索引事件,管理用户的权限和角色,查询和搜索数据,以及创建自定义应用程序等。...
使用python实现splunk 读取csv文件数据并存储到collection中
QYHuiiQ
08-08 737
from configparser import ConfigParser import splunklib.client as splunkClient import requests import json import sys import urllib3 import csv utllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning) #load splunk config def loadConfig(file.
探索数据海洋:推荐Splunk Java SDK,您的日志管理和分析利器!
gitblog_00034的博客
06-14 360
探索数据海洋:推荐Splunk Java SDK,您的日志管理和分析利器! 1、项目介绍 Splunk的Java SDK是一款强大的工具,它专为开发人员设计,让您可以构建与Splunk集成的应用程序,充分利用其高效搜索和数据分析能力。版本1.9.5提供库代码和示例,帮助您轻松地与Splunk进行交互,包括搜索、保存查询、数据输入等多样化功能。 2、项目技术分析 Splunk Java SDK基于J...
探索数据的无限可能:使用Splunk SDK for Java搭建强大应用
gitblog_01052的博客
08-24 879
探索数据的无限可能:使用Splunk SDK for Java搭建强大应用 在数字化代的大潮中,数据分析已成为企业决策的核心驱动力。今天,我们来探索一个重量级工具——Splunk SDK for Java,它是打开Splunk分析世界大门的金钥匙,为开发者提供了前所未有的灵活性和力量。 项目介绍 Splunk SDK for Java,版本1.9.5,是一个精心设计的开发套件,旨在让开发者能够...
Python中轻松实现Splunk搜索并获取结果的工具
资源摘要信息:"本资源主要介绍如何使用Python轻松地创建Splunk搜索,并将搜索结果作为Python对象获取。资源中首先强调了所需的Python版本(请求库版本需大于等于2.7.0),接着提供了从PyPi安装searchsplunk包的具体...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值