2021년 5월 19일 수요일

Splunk의 대소문자 구분

스플렁크는 대소문자를 구분한다고 했는데 딱 하나 예외상황이 있다. 바로 search 명령을 사용할 때. 다음은 특정 index, EventCode, process_name 조건의 검색 결과. 소문자를 검색해도 대문자 검색 결과를 얻을 수 있다.


이때 내부적으로는 search 명령어와 AND 연산자가 자동으로 선언된다. 


SPL 명령어는 굉장히 다양하지만 검색이 기본이란 얘기. 일단 검색이 돼야 뭐라도 해볼 수 있으니까. 물론 주검색일 때 얘기고, 하위 검색을 추가할 때는 search 명령을 선언해야 한다.

where 명령으로 조건을 주면


대소문자를 구분한다. search를 제외한 다른 모든 명령어도 마찬가지.


와일드카드도 search만 지원한다. (where는 like 검색을 사용할 때만 % 지원) search와 where 둘이 뭔가 비슷하면서도 다르다. search가 SPL의 기본이라 대우가 특별한 느낌.


댓글 없음:

댓글 쓰기

크리에이티브 커먼즈 라이선스