Учебники

Splunk — поиск полей

Когда Splunk читает загруженные машинные данные, он интерпретирует данные и делит их на множество полей, которые представляют собой единый логический факт о всей записи данных.

Например, одна запись информации может содержать имя сервера, метку времени события, тип регистрируемого события, будь то попытка входа в систему или ответ http, и т. Д. Даже в случае неструктурированных данных Splunk пытается разделить поля на значение ключа. пары или разделить их на основе типов данных, которые они имеют, числовые и строковые и т. д.

Продолжая с данными, загруженными в предыдущей главе, мы можем увидеть поля из файла secure.log , щелкнув ссылку показать поля, которая откроет следующий экран. Мы можем заметить поля, созданные Splunk из этого файла журнала.

Поиск поля

Выбор полей

Мы можем выбрать, какие поля отображать, выбрав или отменив выбор полей из списка всех полей. При нажатии на все поля открывается окно со списком всех полей. Некоторые из этих полей помечены галочками, показывая, что они уже выбраны. Мы можем использовать флажки, чтобы выбрать наши поля для отображения.

Помимо имени поля, оно отображает количество различных значений, которые имеют поля, тип данных и процент событий, в которых присутствует это поле.

Поиск поля

Сводка по полю

Очень подробные статистические данные для каждого выбранного поля становятся доступными, нажав на название поля. Он показывает все различные значения для поля, их количество и их проценты.

Поиск поля

Использование полей в поиске

Имена полей также могут быть вставлены в поле поиска вместе с конкретными значениями для поиска. В приведенном ниже примере мы стремимся найти все записи на дату 15 октября для хоста с именем mailsecure_log . Мы получаем результат для этой конкретной даты.