Splunk 字段搜索

当 Splunk 读取上传的机器数据时,它会解释数据并将其划分为多个字段,这些字段代表关于整个数据记录的单个逻辑事实。

例如,单个信息记录可能包含服务器名称、事件时间戳、记录的事件类型是登录尝试还是 http 响应等。即使是非结构化数据,Splunk 也会尝试划分字段成键值对或根据它们拥有的数据类型,数字和字符串等将它们分开。

继续上一章上传的数据,我们可以通过单击显示字段链接来查看 secure.log 文件中的字段,这将打开以下屏幕。我们可以注意到 Splunk 从这个日志文件中生成的字段。

字段搜索

选择字段

我们可以通过从所有字段列表中选择或取消选择字段来选择要显示的字段。点击 所有字段会打开一个窗口,显示所有字段的列表。其中一些字段带有复选标记,表明它们已被选中。我们可以使用复选框来选择要显示的字段。

除了字段名称之外,它还显示字段具有的不同值的数量、其数据类型以及该字段出现的事件百分比。

字段搜索

领域总结

通过单击字段名称,可以获得每个选定字段的非常详细的统计信息。它显示了该字段的所有不同值、它们的计数和百分比。

字段搜索

在搜索中使用字段

字段名称也可以与搜索的特定值一起插入到搜索框中。在下面的示例中,我们的目标是查找名为 mailsecure_log 的主机的 10 月 15 日日期的所有记录。我们会得到这个特定日期的结果。

字段搜索

下一章:Splunk 时间范围搜索

 Splunk 网络界面显示时间线,表明事件在一段时间内的分布。有预设的时间间隔,您可以从中选择特定的时间范围,也可以根据需要自定义时间范围。下面的屏幕显示了各种预设时间线选项。选择这些选项中的任何一个 ...