- Splunk 教程
- Splunk - 首页
- Splunk - 概述
- Splunk - 环境
- Splunk - 接口
- Splunk - 数据摄取
- Splunk - 数据源类型
- Splunk - 基本搜索
- Splunk - 字段搜索
- Splunk - 时间范围搜索
- Splunk - 共享和导出
- Splunk - 搜索语言
- Splunk - 搜索优化
- Splunk - 变换命令
- Splunk - 报表
- Splunk - 仪表板
- Splunk - 数据透视表和数据集
- Splunk - 查找
- Splunk - 计划和警报
- Splunk - 知识管理
- Splunk - 子搜索
- Splunk - 搜索宏
- Splunk - 事件类型
- Splunk - 基本图表
- Splunk - 叠加图表
- Splunk - Sparklines(微型图表)
- Splunk - 管理索引
- Splunk - 计算字段
- Splunk - 标签
- Splunk - 应用
- Splunk - 删除数据
- Splunk - 自定义图表
- Splunk - 监控文件
- Splunk - sort 命令
- Splunk - top 命令
- Splunk - stats 命令
- Splunk 有用资源
- Splunk - 快速指南
- Splunk - 有用资源
- Splunk - 讨论
Splunk - 查找
在搜索查询的结果中,我们有时会得到一些可能无法清楚传达字段含义的值。例如,我们可能会得到一个字段,其中产品 ID 的值以数字结果的形式列出。这些数字不会让我们了解产品的类型。但是,如果我们将产品名称与产品 ID 一起列出,那么我们就可以获得一份良好的报告,从中我们可以理解搜索结果的含义。
这种使用来自两个数据集的相等值,将一个字段的值链接到另一个数据集中具有相同名称的字段的过程称为查找过程。其优点是,我们可以从两个不同的数据集中检索相关值。
创建和使用查找文件步骤
为了在数据集中成功创建查找字段,我们需要遵循以下步骤:
创建查找文件
我们考虑主机为 web_application 的数据集,并查看 productid 字段。此字段只是一个数字,但我们希望在查询结果集中反映产品名称。我们创建了一个包含以下详细信息的查找文件。这里,我们将第一个字段的名称保留为productid,这与我们将从数据集中使用的字段相同。
productId,productdescription WC-SH-G04,Tablets DB-SG-G01,PCs DC-SG-G02,MobilePhones SC-MG-G10,Wearables WSC-MG-G10,Usb Light GT-SC-G01,Battery SF-BVS-G01,Hard Drive
添加查找文件
接下来,我们使用如下所示的“设置”屏幕将查找文件添加到 Splunk 环境中:
选择“查找”后,我们将看到一个创建和配置查找的屏幕。我们选择查找表文件,如下所示。
我们浏览以选择文件productidvals.csv作为要上传的查找文件,并选择 search 作为我们的目标应用程序。我们还保留相同的目标文件名。
单击“保存”按钮后,文件将作为查找文件保存到 Splunk 存储库中。
创建查找定义
为了使搜索查询能够从我们上面上传的查找文件中查找值,我们需要创建一个查找定义。我们通过再次转到设置 → 查找 → 查找定义 → 添加新项来执行此操作。
接下来,我们通过转到设置 → 查找 → 查找定义来检查我们添加的查找定义的可用性。
选择查找字段
接下来,我们需要为搜索查询选择查找字段。这可以通过转到新建搜索 → 所有字段来完成。然后选中productid的复选框,这将自动添加查找文件中的productdescription字段。
使用查找字段
现在,我们像下面这样在搜索查询中使用查找字段。可视化显示的结果使用 productdescription 字段而不是 productid。
