Splunk имеет надежную функцию поиска, которая позволяет вам искать весь набор данных, который принимается. Эта функция доступна через приложение под названием « Поиск и отчетность», которое можно увидеть на левой боковой панели после входа в веб-интерфейс.
При нажатии на приложение поиска и отчетности нам предоставляется окно поиска, где мы можем начать наш поиск по данным журнала, которые мы загрузили в предыдущей главе.
Мы вводим имя хоста в формате, как показано ниже, и нажимаем на значок поиска в правом верхнем углу. Это дает нам результат, выделяющий поисковый запрос.
Объединение условий поиска
Мы можем объединить термины, используемые для поиска, написав их один за другим, но поместив строки поиска пользователя в двойные кавычки.
Использование Wild Card
Мы можем использовать подстановочные знаки в нашей опции поиска в сочетании с операторами И / ИЛИ . В приведенном ниже поиске мы получаем результат, в котором в файле журнала содержатся термины, содержащие сбой, сбой, сбой и т. Д., А также пароль в той же строке.
Уточнение результатов поиска
Мы можем дополнительно уточнить результаты поиска, выбрав строку и добавив ее в поиск. В приведенном ниже примере мы нажимаем на строку 3351 и выбираем опцию Добавить в поиск .
После добавления 3351 к поисковому запросу мы получаем следующий результат, который показывает только те строки из журнала, которые содержат 3351 в них. Также отметьте, как изменилась временная шкала результата поиска, поскольку мы уточнили поиск.