- Splunk 教程
- Splunk - 首頁
- Splunk - 概述
- Splunk - 環境
- Splunk - 介面
- Splunk - 資料攝取
- Splunk - 資料來源型別
- Splunk - 基本搜尋
- Splunk - 欄位搜尋
- Splunk - 時間範圍搜尋
- Splunk - 共享和匯出
- Splunk - 搜尋語言
- Splunk - 搜尋最佳化
- Splunk - 變換命令
- Splunk - 報表
- Splunk - 儀表板
- Splunk - 資料透視和資料集
- Splunk - 查詢
- Splunk - 排程和告警
- Splunk - 知識管理
- Splunk - 子搜尋
- Splunk - 搜尋宏
- Splunk - 事件型別
- Splunk - 基本圖表
- Splunk - 疊加圖表
- Splunk - 火花線
- Splunk - 管理索引
- Splunk - 計算欄位
- Splunk - 標籤
- Splunk - 應用
- Splunk - 刪除資料
- Splunk - 自定義圖表
- Splunk - 監控檔案
- Splunk - 排序命令
- Splunk - top 命令
- Splunk - stats 命令
- Splunk 有用資源
- Splunk - 快速指南
- Splunk - 有用資源
- Splunk - 討論
Splunk - 搜尋宏
搜尋宏是可重用的搜尋處理語言 (SPL) 程式碼塊,您可以將其插入其他搜尋中。當您希望在資料集的不同部分或值上動態使用相同的搜尋邏輯時,可以使用它們。它們可以動態接受引數,並且搜尋結果將根據新值進行更新。
宏建立
要建立搜尋宏,我們轉到設定 → 高階搜尋 → 搜尋宏 → 新增新。這將調出以下螢幕,我們開始在其中建立宏。
宏場景
我們希望顯示來自web_applications日誌的檔案大小的各種統計資訊。這些統計資訊是關於日誌中 bytes 欄位的檔案大小的最大值、最小值和平均值。結果應顯示日誌中列出的每個檔案的這些統計資訊。
因此,這裡的統計資訊型別本質上是動態的。統計函式的名稱將作為引數傳遞給宏。
定義宏
接下來,我們透過設定各種屬性來定義宏,如下面的螢幕所示。宏的名稱包含 (1),表示在搜尋字串中使用宏時,需要將一個引數傳遞給宏。fun 是在搜尋查詢中執行期間傳遞給宏的引數。
使用宏
要使用宏,我們將其作為搜尋字串的一部分。透過為引數傳遞不同的值,我們看到預期的不同結果。
例如,查詢檔案的平均位元組大小。我們將 avg 作為引數傳遞並獲得如下所示的結果。宏已作為搜尋查詢的一部分保留在 ` 符號下。
同樣,如果我們希望獲取日誌中每個檔案的最大檔案大小,則我們使用max作為引數。結果如下所示。
廣告