Splunk搜索处理语言(SPL)是一种包含许多命令，函数，参数等的语言，这些命令，函数，参数等被编写为从数据集中获取所需结果。例如，当您获得搜索词的结果集时，您可能还想从结果集中过滤一些更具体的词。为此，您需要将一些其他命令添加到现有命令中。这是通过学习SPL的用法来实现的。

SPL的组成

SPL具有以下组件。

• 搜索词-这些是您正在寻找的关键字或短语。

• 命令-您想要对结果集执行的操作，例如格式化结果或对结果计数。

• 函数-您将对结果应用哪些计算。像求和，平均值等。

• 子句-如何对结果集中的字段进行分组或重命名。

让我们在下一节中借助图像讨论所有组件-

搜索词

这些是您在搜索栏中提到的术语，用于从数据集中获取符合搜索条件的特定记录。在下面的示例中，我们正在搜索包含两个突出显示的术语的记录。

指令

您可以使用SPL提供的许多内置命令来简化分析结果集中的数据的过程。在下面的示例中，我们使用head命令仅过滤出搜索操作的前3个结果。

功能

与命令一起，Splunk还提供了许多内置函数，这些函数可以从正在分析的字段中获取输入，并在对该字段进行计算后给出输出。在下面的示例中，我们使用Stats avg()函数来计算被用作输入的数字字段的平均值。

条款

当我们想要按某个特定字段分组结果或要在输出中重命名字段时，我们分别使用group by子句和as子句。在下面的示例中，我们获取web_application日志中每个文件的平均字节大小。如您所见，结果显示每个文件的名称以及每个文件的平均字节数。