- Splunk 教程
- Splunk - 首頁
- Splunk - 概述
- Splunk - 環境
- Splunk - 介面
- Splunk - 資料攝取
- Splunk - 資料來源型別
- Splunk - 基礎搜尋
- Splunk - 欄位搜尋
- Splunk - 時間範圍搜尋
- Splunk - 分享和匯出
- Splunk - 搜尋語言
- Splunk - 搜尋最佳化
- Splunk - 資料轉換命令
- Splunk - 報表
- Splunk - 儀表盤
- Splunk - 資料透視和資料集
- Splunk - 查詢
- Splunk - 排程和告警
- Splunk - 知識管理
- Splunk - 子搜尋
- Splunk - 搜尋宏
- Splunk - 事件型別
- Splunk - 基礎圖表
- Splunk - 疊加圖表
- Splunk - 微型圖表
- Splunk - 管理索引
- Splunk - 計算欄位
- Splunk - 標籤
- Splunk - 應用
- Splunk - 刪除資料
- Splunk - 自定義圖表
- Splunk - 檔案監控
- Splunk - 排序命令
- Splunk - top 命令
- Splunk - stats 命令
- Splunk 有用資源
- Splunk - 快速指南
- Splunk - 有用資源
- Splunk - 討論
Splunk - 欄位搜尋
當 Splunk 讀取上傳的機器資料時,它會解釋資料並將資料分成許多欄位,這些欄位代表關於整個資料記錄的單個邏輯事實。
例如,一條資訊記錄可能包含伺服器名稱、事件時間戳、正在記錄的事件型別(登入嘗試或 http 響應等)。即使是對於非結構化資料,Splunk 也嘗試將欄位劃分為鍵值對,或根據它們的資料型別(數字和字串等)進行分離。
繼續使用上一章中上傳的資料,我們可以透過單擊“顯示欄位”連結檢視 **secure.log** 檔案中的欄位,這將開啟以下螢幕。我們可以注意到 Splunk 從此日誌檔案中生成的欄位。
選擇欄位
我們可以透過從所有欄位列表中選擇或取消選擇欄位來選擇要顯示的欄位。單擊**所有欄位**將開啟一個視窗,顯示所有欄位的列表。其中一些欄位帶有複選標記,表示它們已被選中。我們可以使用複選框選擇要顯示的欄位。
除了欄位名稱外,它還顯示欄位的不同值的數量、其資料型別以及此欄位出現在多少百分比的事件中。
欄位摘要
透過單擊欄位名稱,可以獲得每個所選欄位的非常詳細的統計資訊。它顯示欄位的所有不同值、它們的計數及其百分比。
在搜尋中使用欄位
欄位名稱也可以與搜尋的特定值一起插入到搜尋框中。在下面的示例中,我們的目標是查詢主機名為 **mailsecure_log** 的 10 月 15 日的所有記錄。我們得到了此特定日期的結果。
廣告