Splunk 基本搜索

Splunk 具有强大的搜索功能,可让您搜索摄取的整个数据集。此功能可通过名为 Search & Reporting 的应用程序访问,该应用程序可在登录网络界面后在左侧栏中看到。

Basic Search1

点击 搜索和报告应用后,我们会看到一个搜索框,我们可以在其中开始搜索我们在上一章中上传的日志数据。

我们以如下格式键入主机名,然后单击最右上角的搜索图标。这为我们提供了突出显示搜索词的结果。

Basic Search2

组合搜索词

我们可以将用于搜索的术语一个接一个地组合起来,但将用户搜索字符串放在双引号下。

Basic Search3

使用通配符

我们可以在搜索选项中使用通配符和 AND/OR 运算符。在下面的搜索中,我们得到的结果是日志文件中包含失败、失败、失败等术语,以及同一行中的密码术语。

Basic Search4

优化搜索结果

我们可以通过选择一个字符串并将其添加到搜索中来进一步细化搜索结果。在下面的示例中,我们单击字符串 3351 并选择选项 添加到搜索

在将 3351 添加到搜索词后,我们得到以下结果,其中仅显示日志中包含 3351 的那些行。还要标记搜索结果的时间线随着我们优化搜索而发生的变化。

基本搜索

下一章:Splunk 字段搜索

 当 Splunk 读取上传的机器数据时,它会解释数据并将其划分为多个字段,这些字段代表关于整个数据记录的单个逻辑事实。例如,单个信息记录可能包含服务器名称、事件时间戳、记录的事件类型是登录尝试还是 htt ...