- Splunk 教程
- Splunk - 首頁
- Splunk - 概述
- Splunk - 環境
- Splunk - 介面
- Splunk - 資料攝取
- Splunk - 資料來源型別
- Splunk - 基本搜尋
- Splunk - 欄位搜尋
- Splunk - 時間範圍搜尋
- Splunk - 共享和匯出
- Splunk - 搜尋語言
- Splunk - 搜尋最佳化
- Splunk - 資料轉換命令
- Splunk - 報表
- Splunk - 儀表盤
- Splunk - 資料透視和資料集
- Splunk - 查詢表
- Splunk - 計劃和告警
- Splunk - 知識管理
- Splunk - 子搜尋
- Splunk - 搜尋宏
- Splunk - 事件型別
- Splunk - 基本圖表
- Splunk - 疊加圖表
- Splunk - 迷你圖
- Splunk - 管理索引
- Splunk - 計算欄位
- Splunk - 標籤
- Splunk - 應用
- Splunk - 刪除資料
- Splunk - 自定義圖表
- Splunk - 監控檔案
- Splunk - 排序命令
- Splunk - Top 命令
- Splunk - Stats 命令
- Splunk 有用資源
- Splunk - 快速指南
- Splunk - 有用資源
- Splunk - 討論
Splunk - 基礎搜尋
Splunk 擁有強大的搜尋功能,使您能夠搜尋所有已攝取的資料集。此功能透過名為“搜尋和報表”的應用程式訪問,登入 Web 介面後,您可以在左側邊欄中看到該應用程式。
點選“搜尋和報表”應用程式後,會顯示一個搜尋框,您可以在其中開始對之前章節中上傳的日誌資料進行搜尋。
我們按照以下格式輸入主機名,然後點選最右側的搜尋圖示。這將提供結果,並突出顯示搜尋詞。
組合搜尋詞
我們可以透過將搜尋詞一個接一個地寫出來,並將使用者搜尋字串放在雙引號內來組合搜尋詞。
使用萬用字元
我們可以在搜尋選項中結合使用萬用字元和AND/OR運算子。在下面的搜尋中,我們得到的結果是日誌檔案中包含 fail、failed、failure 等詞語,並且同一行中還包含 password 詞語。
細化搜尋結果
我們可以透過選擇一個字串並將其新增到搜尋中來進一步細化搜尋結果。在下面的示例中,我們點選字串3351並選擇“新增到搜尋”選項。
將3351新增到搜尋詞後,我們得到以下結果,該結果僅顯示日誌中包含 3351 的那些行。還要注意搜尋結果的時間軸是如何隨著我們細化搜尋而改變的。
廣告