- Splunk 教程
- Splunk - 首页
- Splunk - 概述
- Splunk - 环境
- Splunk - 接口
- Splunk - 数据摄取
- Splunk - 数据源类型
- Splunk - 基础搜索
- Splunk - 字段搜索
- Splunk - 时间范围搜索
- Splunk - 分享和导出
- Splunk - 搜索语言
- Splunk - 搜索优化
- Splunk - 数据转换命令
- Splunk - 报表
- Splunk - 仪表盘
- Splunk - 数据透视和数据集
- Splunk - 数据查找
- Splunk - 调度和告警
- Splunk - 知识管理
- Splunk - 子搜索
- Splunk - 搜索宏
- Splunk - 事件类型
- Splunk - 基础图表
- Splunk - 叠加图表
- Splunk - 迷你图
- Splunk - 管理索引
- Splunk - 计算字段
- Splunk - 标签
- Splunk - 应用
- Splunk - 删除数据
- Splunk - 自定义图表
- Splunk - 文件监控
- Splunk - 排序命令
- Splunk - top 命令
- Splunk - stats 命令
- Splunk 有用资源
- Splunk - 快速指南
- Splunk - 有用资源
- Splunk - 讨论
Splunk - 子搜索
子搜索是常规搜索的一种特殊情况,其中二次查询或内部查询的结果作为主要查询或外部查询的输入。这类似于SQL语言中的子查询概念。在Splunk中,主查询应该返回一个结果,该结果可以作为输入提供给外部或二次查询。
当搜索包含子搜索时,子搜索会首先运行。子搜索必须用方括号括在主搜索中。
示例
我们考虑从Web日志中查找具有最大字节大小的文件的情况。但这每天都可能有所不同。然后我们只想查找文件大小等于最大大小且是星期日的那些事件。
创建子搜索
我们首先创建子搜索以查找最大文件大小。我们使用函数**stats max**,并将名为bytes的字段作为参数。这将识别搜索查询运行的时间范围内文件的最大大小。
下图显示了此子搜索的搜索结果:
添加子搜索
接下来,我们通过将子搜索放在方括号内,将子搜索查询添加到主查询或外部查询中。搜索子句也添加到子搜索查询中。
如我们所见,结果仅包含文件大小等于考虑所有事件后找到的最大文件大小且事件日期为星期日的事件。
广告