- Splunk 教程
- Splunk - 首頁
- Splunk - 概述
- Splunk - 環境
- Splunk - 介面
- Splunk - 資料攝取
- Splunk - 資料來源型別
- Splunk - 基本搜尋
- Splunk - 欄位搜尋
- Splunk - 時間範圍搜尋
- Splunk - 共享和匯出
- Splunk - 搜尋語言
- Splunk - 搜尋最佳化
- Splunk - 變換命令
- Splunk - 報表
- Splunk - 儀表板
- Splunk - 資料透視表和資料集
- Splunk - 查詢
- Splunk - 計劃和警報
- Splunk - 知識管理
- Splunk - 子搜尋
- Splunk - 搜尋宏
- Splunk - 事件型別
- Splunk - 基本圖表
- Splunk - 疊加圖表
- Splunk - Sparklines(微型圖表)
- Splunk - 管理索引
- Splunk - 計算欄位
- Splunk - 標籤
- Splunk - 應用
- Splunk - 刪除資料
- Splunk - 自定義圖表
- Splunk - 監控檔案
- Splunk - sort 命令
- Splunk - top 命令
- Splunk - stats 命令
- Splunk 有用資源
- Splunk - 快速指南
- Splunk - 有用資源
- Splunk - 討論
Splunk - 查詢
在搜尋查詢的結果中,我們有時會得到一些可能無法清楚傳達欄位含義的值。例如,我們可能會得到一個欄位,其中產品 ID 的值以數字結果的形式列出。這些數字不會讓我們瞭解產品的型別。但是,如果我們將產品名稱與產品 ID 一起列出,那麼我們就可以獲得一份良好的報告,從中我們可以理解搜尋結果的含義。
這種使用來自兩個資料集的相等值,將一個欄位的值連結到另一個數據集中具有相同名稱的欄位的過程稱為查詢過程。其優點是,我們可以從兩個不同的資料集中檢索相關值。
建立和使用查詢檔案步驟
為了在資料集中成功建立查詢欄位,我們需要遵循以下步驟:
建立查詢檔案
我們考慮主機為 web_application 的資料集,並檢視 productid 欄位。此欄位只是一個數字,但我們希望在查詢結果集中反映產品名稱。我們建立了一個包含以下詳細資訊的查詢檔案。這裡,我們將第一個欄位的名稱保留為productid,這與我們將從資料集中使用的欄位相同。
productId,productdescription WC-SH-G04,Tablets DB-SG-G01,PCs DC-SG-G02,MobilePhones SC-MG-G10,Wearables WSC-MG-G10,Usb Light GT-SC-G01,Battery SF-BVS-G01,Hard Drive
新增查詢檔案
接下來,我們使用如下所示的“設定”螢幕將查詢檔案新增到 Splunk 環境中:
選擇“查詢”後,我們將看到一個建立和配置查詢的螢幕。我們選擇查詢表文件,如下所示。
我們瀏覽以選擇檔案productidvals.csv作為要上傳的查詢檔案,並選擇 search 作為我們的目標應用程式。我們還保留相同的目標檔名。
單擊“儲存”按鈕後,檔案將作為查詢檔案儲存到 Splunk 儲存庫中。
建立查詢定義
為了使搜尋查詢能夠從我們上面上傳的查詢檔案中查詢值,我們需要建立一個查詢定義。我們透過再次轉到設定 → 查詢 → 查詢定義 → 新增新項來執行此操作。
接下來,我們透過轉到設定 → 查詢 → 查詢定義來檢查我們新增的查詢定義的可用性。
選擇查詢欄位
接下來,我們需要為搜尋查詢選擇查詢欄位。這可以透過轉到新建搜尋 → 所有欄位來完成。然後選中productid的複選框,這將自動新增查詢檔案中的productdescription欄位。
使用查詢欄位
現在,我們像下面這樣在搜尋查詢中使用查詢欄位。視覺化顯示的結果使用 productdescription 欄位而不是 productid。
