AI 中文社
欢迎来到 AI 中文社区(简称 AI 中文社),这里是学习交流 AI 人工智能技术的中文社区。 为了更好的体验,本站推荐使用 Chrome 浏览器。
全部教程·
开发工具·
Splunk
[目录]
·
Splunk 子搜索
Splunk 教程
Splunk 环境
Splunk 界面
Splunk 数据摄取
Splunk 源类型
Splunk 基本搜索
Splunk 字段搜索
Splunk 时间范围搜索
Splunk 共享导出
Splunk 搜索语言
Splunk 搜索优化
Splunk 转换命令
Splunk 报告
Splunk 仪表板
Splunk 透视和数据集
Splunk 查找
Splunk 计划和警报
Splunk 知识管理
Splunk 子搜索
Splunk 搜索宏
Splunk 事件类型
Splunk 基本图表
Splunk 叠加图表
Splunk 迷你图
Splunk 管理索引
Splunk 计算字段
Splunk 标签
Splunk 应用
Splunk 删除数据
Splunk 自定义图表
Splunk 监控文件
Splunk 排序命令
Splunk top命令
Splunk 统计命令
Splunk 教程
Splunk 环境
Splunk 界面
Splunk 数据摄取
Splunk 源类型
Splunk 基本搜索
Splunk 字段搜索
Splunk 时间范围搜索
Splunk 共享导出
Splunk 搜索语言
Splunk 搜索优化
Splunk 转换命令
Splunk 报告
Splunk 仪表板
Splunk 透视和数据集
Splunk 查找
Splunk 计划和警报
Splunk 知识管理
Splunk 子搜索
Splunk 搜索宏
Splunk 事件类型
Splunk 基本图表
Splunk 叠加图表
Splunk 迷你图
Splunk 管理索引
Splunk 计算字段
Splunk 标签
Splunk 应用
Splunk 删除数据
Splunk 自定义图表
Splunk 监控文件
Splunk 排序命令
Splunk top命令
Splunk 统计命令
Splunk 子搜索
子搜索是常规搜索的一种特殊情况,当次要或内部查询的结果是主要或外部查询的输入时。它类似于 SQL 语言中子查询的概念。在 Splunk 中,主查询应该返回一个结果,该结果可以输入到外部或次要查询中。
当搜索包含子搜索时,首先运行子搜索。在主搜索中,子搜索必须用方括号括起来。
示例
我们考虑从网络日志中找到最大字节大小的文件的情况。但这可能每天都在变化。然后我们只想找到那些文件大小等于最大大小并且是星期日的事件。
创建子搜索
我们首先创建子搜索以查找最大文件大小。我们使用函数 Stat max 和名为 bytes 的字段作为参数。这标识了运行搜索查询的时间范围内文件的最大大小。
下图显示了此子搜索的搜索和结果:
添加子搜索
接下来,我们通过将子搜索放在方括号内,将子搜索查询添加到主要或外部查询中。搜索子句也被添加到子搜索查询中。
如我们所见,结果仅包含文件大小等于通过考虑所有事件找到的最大文件大小的事件,并且事件日为星期日。
下一章:Splunk 搜索宏
搜索宏是可重复使用的搜索处理语言 (SPL) 块,您可以将其插入到其他搜索中。当您想对数据集中的不同部分或值动态使用相同的搜索逻辑时,将使用它们。它们可以动态接受参数,搜索结果将根据新值进行更新。 ...