- Splunk 教程
- Splunk - 首页
- Splunk - 概述
- Splunk - 环境
- Splunk - 接口
- Splunk - 数据摄取
- Splunk - 数据源类型
- Splunk - 基础搜索
- Splunk - 字段搜索
- Splunk - 时间范围搜索
- Splunk - 分享和导出
- Splunk - 搜索语言
- Splunk - 搜索优化
- Splunk - 数据转换命令
- Splunk - 报表
- Splunk - 仪表盘
- Splunk - 数据透视和数据集
- Splunk - 查找
- Splunk - 调度和告警
- Splunk - 知识管理
- Splunk - 子搜索
- Splunk - 搜索宏
- Splunk - 事件类型
- Splunk - 基础图表
- Splunk - 叠加图表
- Splunk - 微型图表
- Splunk - 管理索引
- Splunk - 计算字段
- Splunk - 标签
- Splunk - 应用
- Splunk - 删除数据
- Splunk - 自定义图表
- Splunk - 文件监控
- Splunk - 排序命令
- Splunk - top 命令
- Splunk - stats 命令
- Splunk 有用资源
- Splunk - 快速指南
- Splunk - 有用资源
- Splunk - 讨论
Splunk - 字段搜索
当 Splunk 读取上传的机器数据时,它会解释数据并将数据分成许多字段,这些字段代表关于整个数据记录的单个逻辑事实。
例如,一条信息记录可能包含服务器名称、事件时间戳、正在记录的事件类型(登录尝试或 http 响应等)。即使是对于非结构化数据,Splunk 也尝试将字段划分为键值对,或根据它们的数据类型(数字和字符串等)进行分离。
继续使用上一章中上传的数据,我们可以通过单击“显示字段”链接查看 **secure.log** 文件中的字段,这将打开以下屏幕。我们可以注意到 Splunk 从此日志文件中生成的字段。
选择字段
我们可以通过从所有字段列表中选择或取消选择字段来选择要显示的字段。单击**所有字段**将打开一个窗口,显示所有字段的列表。其中一些字段带有复选标记,表示它们已被选中。我们可以使用复选框选择要显示的字段。
除了字段名称外,它还显示字段的不同值的数量、其数据类型以及此字段出现在多少百分比的事件中。
字段摘要
通过单击字段名称,可以获得每个所选字段的非常详细的统计信息。它显示字段的所有不同值、它们的计数及其百分比。
在搜索中使用字段
字段名称也可以与搜索的特定值一起插入到搜索框中。在下面的示例中,我们的目标是查找主机名为 **mailsecure_log** 的 10 月 15 日的所有记录。我们得到了此特定日期的结果。
广告