- Splunk 教程
- Splunk - 首頁
- Splunk - 概述
- Splunk - 環境
- Splunk - 介面
- Splunk - 資料攝取
- Splunk - 資料來源型別
- Splunk - 基礎搜尋
- Splunk - 欄位搜尋
- Splunk - 時間範圍搜尋
- Splunk - 分享和匯出
- Splunk - 搜尋語言
- Splunk - 搜尋最佳化
- Splunk - 資料轉換命令
- Splunk - 報表
- Splunk - 儀表盤
- Splunk - 資料透視和資料集
- Splunk - 資料查詢
- Splunk - 排程和告警
- Splunk - 知識管理
- Splunk - 子搜尋
- Splunk - 搜尋宏
- Splunk - 事件型別
- Splunk - 基礎圖表
- Splunk - 疊加圖表
- Splunk - 迷你圖
- Splunk - 管理索引
- Splunk - 計算欄位
- Splunk - 標籤
- Splunk - 應用
- Splunk - 刪除資料
- Splunk - 自定義圖表
- Splunk - 檔案監控
- Splunk - 排序命令
- Splunk - top 命令
- Splunk - stats 命令
- Splunk 有用資源
- Splunk - 快速指南
- Splunk - 有用資源
- Splunk - 討論
Splunk - 子搜尋
子搜尋是常規搜尋的一種特殊情況,其中二次查詢或內部查詢的結果作為主要查詢或外部查詢的輸入。這類似於SQL語言中的子查詢概念。在Splunk中,主查詢應該返回一個結果,該結果可以作為輸入提供給外部或二次查詢。
當搜尋包含子搜尋時,子搜尋會首先執行。子搜尋必須用方括號括在主搜尋中。
示例
我們考慮從Web日誌中查詢具有最大位元組大小的檔案的情況。但這每天都可能有所不同。然後我們只想查詢檔案大小等於最大大小且是星期日的那些事件。
建立子搜尋
我們首先建立子搜尋以查詢最大檔案大小。我們使用函式**stats max**,並將名為bytes的欄位作為引數。這將識別搜尋查詢執行的時間範圍內檔案的最大大小。
下圖顯示了此子搜尋的搜尋結果:
新增子搜尋
接下來,我們透過將子搜尋放在方括號內,將子搜尋查詢新增到主查詢或外部查詢中。搜尋子句也新增到子搜尋查詢中。
如我們所見,結果僅包含檔案大小等於考慮所有事件後找到的最大檔案大小且事件日期為星期日的事件。
廣告