- Splunk 教程
- Splunk - 首页
- Splunk - 概述
- Splunk - 环境
- Splunk - 接口
- Splunk - 数据摄取
- Splunk - 数据源类型
- Splunk - 基础搜索
- Splunk - 字段搜索
- Splunk - 时间范围搜索
- Splunk - 分享和导出
- Splunk - 搜索语言
- Splunk - 搜索优化
- Splunk - 数据转换命令
- Splunk - 报表
- Splunk - 仪表盘
- Splunk - 数据透视和数据集
- Splunk - 查找
- Splunk - 计划和告警
- Splunk - 知识管理
- Splunk - 子搜索
- Splunk - 搜索宏
- Splunk - 事件类型
- Splunk - 基础图表
- Splunk - 叠加图表
- Splunk - 迷你图表
- Splunk - 管理索引
- Splunk - 计算字段
- Splunk - 标签
- Splunk - 应用
- Splunk - 删除数据
- Splunk - 自定义图表
- Splunk - 文件监控
- Splunk - 排序命令
- Splunk - top 命令
- Splunk - stats 命令
- Splunk 有用资源
- Splunk - 快速指南
- Splunk - 有用资源
- Splunk - 讨论
Splunk - 标签
标签用于为特定的字段和值组合分配名称。这些字段可以是事件类型、主机、数据源或数据源类型等。您还可以使用标签将一组字段值组合在一起,以便您可以使用一条命令搜索它们。例如,您可以将所有在星期一生成的不同的文件标记为名为 mon_files 的标签。
要查找我们将要标记的字段值对,我们需要展开事件并找到要考虑的字段。下图显示了我们如何展开事件以查看字段:
创建标签
我们可以通过使用编辑标签选项(如下所示)将标签值添加到字段值对来创建标签。我们在“操作”列下选择字段。
下一个屏幕提示我们定义标签。对于“状态”字段,我们选择状态值为 503 或 505,并分配名为 server_error 的标签,如下所示。我们必须逐一选择两个事件来完成此操作,每个事件都包含状态值为 503 和 505 的事件。下图显示了状态值为 503 的方法。我们必须对状态值为 505 的事件重复相同的步骤。
使用标签搜索
创建标签后,我们可以通过简单地在搜索栏中写入标签名称来搜索包含该标签的事件。在下图中,我们看到所有具有 status: 503 或 505 的事件。
广告