- Splunk 教程
- Splunk - 首頁
- Splunk - 概述
- Splunk - 環境
- Splunk - 介面
- Splunk - 資料攝取
- Splunk - 資料來源型別
- Splunk - 基礎搜尋
- Splunk - 欄位搜尋
- Splunk - 時間範圍搜尋
- Splunk - 分享和匯出
- Splunk - 搜尋語言
- Splunk - 搜尋最佳化
- Splunk - 資料轉換命令
- Splunk - 報表
- Splunk - 儀表盤
- Splunk - 資料透視和資料集
- Splunk - 查詢
- Splunk - 計劃和告警
- Splunk - 知識管理
- Splunk - 子搜尋
- Splunk - 搜尋宏
- Splunk - 事件型別
- Splunk - 基礎圖表
- Splunk - 疊加圖表
- Splunk - 迷你圖表
- Splunk - 管理索引
- Splunk - 計算欄位
- Splunk - 標籤
- Splunk - 應用
- Splunk - 刪除資料
- Splunk - 自定義圖表
- Splunk - 檔案監控
- Splunk - 排序命令
- Splunk - top 命令
- Splunk - stats 命令
- Splunk 有用資源
- Splunk - 快速指南
- Splunk - 有用資源
- Splunk - 討論
Splunk - 標籤
標籤用於為特定的欄位和值組合分配名稱。這些欄位可以是事件型別、主機、資料來源或資料來源型別等。您還可以使用標籤將一組欄位值組合在一起,以便您可以使用一條命令搜尋它們。例如,您可以將所有在星期一生成的不同的檔案標記為名為 mon_files 的標籤。
要查詢我們將要標記的欄位值對,我們需要展開事件並找到要考慮的欄位。下圖顯示了我們如何展開事件以檢視欄位:
建立標籤
我們可以透過使用編輯標籤選項(如下所示)將標籤值新增到欄位值對來建立標籤。我們在“操作”列下選擇欄位。
下一個螢幕提示我們定義標籤。對於“狀態”欄位,我們選擇狀態值為 503 或 505,並分配名為 server_error 的標籤,如下所示。我們必須逐一選擇兩個事件來完成此操作,每個事件都包含狀態值為 503 和 505 的事件。下圖顯示了狀態值為 503 的方法。我們必須對狀態值為 505 的事件重複相同的步驟。
使用標籤搜尋
建立標籤後,我們可以透過簡單地在搜尋欄中寫入標籤名稱來搜尋包含該標籤的事件。在下圖中,我們看到所有具有 status: 503 或 505 的事件。
廣告