- Splunk 教程
- Splunk - 首页
- Splunk - 概述
- Splunk - 环境
- Splunk - 接口
- Splunk - 数据摄取
- Splunk - 数据源类型
- Splunk - 基本搜索
- Splunk - 字段搜索
- Splunk - 时间范围搜索
- Splunk - 共享和导出
- Splunk - 搜索语言
- Splunk - 搜索优化
- Splunk - 数据转换命令
- Splunk - 报表
- Splunk - 仪表盘
- Splunk - 数据透视和数据集
- Splunk - 查询表
- Splunk - 计划和告警
- Splunk - 知识管理
- Splunk - 子搜索
- Splunk - 搜索宏
- Splunk - 事件类型
- Splunk - 基本图表
- Splunk - 叠加图表
- Splunk - 迷你图
- Splunk - 管理索引
- Splunk - 计算字段
- Splunk - 标签
- Splunk - 应用
- Splunk - 删除数据
- Splunk - 自定义图表
- Splunk - 监控文件
- Splunk - 排序命令
- Splunk - Top 命令
- Splunk - Stats 命令
- Splunk 有用资源
- Splunk - 快速指南
- Splunk - 有用资源
- Splunk - 讨论
Splunk - 基础搜索
Splunk 拥有强大的搜索功能,使您能够搜索所有已摄取的数据集。此功能通过名为“搜索和报表”的应用程序访问,登录 Web 界面后,您可以在左侧边栏中看到该应用程序。
点击“搜索和报表”应用程序后,会显示一个搜索框,您可以在其中开始对之前章节中上传的日志数据进行搜索。
我们按照以下格式输入主机名,然后点击最右侧的搜索图标。这将提供结果,并突出显示搜索词。
组合搜索词
我们可以通过将搜索词一个接一个地写出来,并将用户搜索字符串放在双引号内来组合搜索词。
使用通配符
我们可以在搜索选项中结合使用通配符和AND/OR运算符。在下面的搜索中,我们得到的结果是日志文件中包含 fail、failed、failure 等词语,并且同一行中还包含 password 词语。
细化搜索结果
我们可以通过选择一个字符串并将其添加到搜索中来进一步细化搜索结果。在下面的示例中,我们点击字符串3351并选择“添加到搜索”选项。
将3351添加到搜索词后,我们得到以下结果,该结果仅显示日志中包含 3351 的那些行。还要注意搜索结果的时间轴是如何随着我们细化搜索而改变的。
广告