- Splunk 教程
- Splunk - 首页
- Splunk - 概述
- Splunk - 环境
- Splunk - 接口
- Splunk - 数据摄取
- Splunk - 数据源类型
- Splunk - 基本搜索
- Splunk - 字段搜索
- Splunk - 时间范围搜索
- Splunk - 共享和导出
- Splunk - 搜索语言
- Splunk - 搜索优化
- Splunk - 变换命令
- Splunk - 报表
- Splunk - 仪表板
- Splunk - 数据透视和数据集
- Splunk - 查找
- Splunk - 调度和告警
- Splunk - 知识管理
- Splunk - 子搜索
- Splunk - 搜索宏
- Splunk - 事件类型
- Splunk - 基本图表
- Splunk - 叠加图表
- Splunk - 火花线
- Splunk - 管理索引
- Splunk - 计算字段
- Splunk - 标签
- Splunk - 应用
- Splunk - 删除数据
- Splunk - 自定义图表
- Splunk - 监控文件
- Splunk - 排序命令
- Splunk - top 命令
- Splunk - stats 命令
- Splunk 有用资源
- Splunk - 快速指南
- Splunk - 有用资源
- Splunk - 讨论
Splunk - 搜索宏
搜索宏是可重用的搜索处理语言 (SPL) 代码块,您可以将其插入其他搜索中。当您希望在数据集的不同部分或值上动态使用相同的搜索逻辑时,可以使用它们。它们可以动态接受参数,并且搜索结果将根据新值进行更新。
宏创建
要创建搜索宏,我们转到设置 → 高级搜索 → 搜索宏 → 添加新。这将调出以下屏幕,我们开始在其中创建宏。
宏场景
我们希望显示来自web_applications日志的文件大小的各种统计信息。这些统计信息是关于日志中 bytes 字段的文件大小的最大值、最小值和平均值。结果应显示日志中列出的每个文件的这些统计信息。
因此,这里的统计信息类型本质上是动态的。统计函数的名称将作为参数传递给宏。
定义宏
接下来,我们通过设置各种属性来定义宏,如下面的屏幕所示。宏的名称包含 (1),表示在搜索字符串中使用宏时,需要将一个参数传递给宏。fun 是在搜索查询中执行期间传递给宏的参数。
使用宏
要使用宏,我们将其作为搜索字符串的一部分。通过为参数传递不同的值,我们看到预期的不同结果。
例如,查找文件的平均字节大小。我们将 avg 作为参数传递并获得如下所示的结果。宏已作为搜索查询的一部分保留在 ` 符号下。
同样,如果我们希望获取日志中每个文件的最大文件大小,则我们使用max作为参数。结果如下所示。
广告