Splunk 作为大数据搜索处理软件，作为行业的翘楚，绝对值得探索和学习，Splunk能实时对任何应用程序、服务器或者网络设备的数据和数据源进行搜索和索引，包括任何位置的日志、配置文件、信息、陷阱和预警、脚本及其他各种类型的信息，号称 “机器能产生，Splunk就能索引”。

　　1、Splunk的正则使用

　　

 

　　常用的的匹配方式为: rex 和regex

　　1.1  regex  ：将删除与指定正则表达式不匹配的结果

语法regex (
     
      =
      
        | 
       
        !=
        
          | 
         
          )示例  匹配192开头的IP| regex _raw="(192.\d+.\d+.\d+)"
         
        
       
      
     

 　　1.2  rex ： 使⽤该命令既可以通过以正则表达式命名的群组提取字段，也可以通过 Sed 表达式替换或取代字段中的字符。

语法 rex [field=
     
      ](
      
       [max_match=
       
        ] [offset_field=
        
         ])|(mode=sed 
         
          )
         
        
       
      
     

示例 日志信息：131.253.24.135 fail admin目标：提取出ip、result、user表达式： |regex field=_raw "(?
     
      \d+.\d+.\d+.\d+)(?
      
       \w+)(
       
        \w+)"
       
      
     

　　更多具体的示例见官方文档：

　　2、Splunk 可视化和搜索

　　更多有趣的、更加详细的可以参考： 

　　或者官方文档：

　　3、Splunk 与 ElasticSearch 对比  

　　看过一篇文章，ElasticSearch可以实现 查询亿级数据毫秒级返回，可见 Splunk 与 ElasticSearch  这两个搜索巨头强大之处。　　

　　对于这两者的比较可以参考：

 

 

 

本文参考：https://blog.csdn.net/Cwiky_1993/article/details/72725355