В результате поискового запроса мы иногда получаем значения, которые не могут четко передать значение поля. Например, мы можем получить поле, которое перечисляет значение идентификатора продукта в виде числового результата. Эти цифры не дадут нам никакого представления о том, что это за продукт. Но если мы перечислим название продукта вместе с идентификатором продукта, это даст нам хороший отчет, в котором мы поймем значение результата поиска.
Такое связывание значений одного поля с полем с тем же именем в другом наборе данных с использованием равных значений из обоих наборов данных называется процессом поиска. Преимущество заключается в том, что мы получаем связанные значения из двух разных наборов данных.
Шаги для создания и использования файла поиска
Чтобы успешно создать поле поиска в наборе данных, нам нужно выполнить следующие шаги:
Создать файл поиска
Мы рассматриваем набор данных с хостом как web_application и смотрим на поле productid. Это поле просто число, но мы хотим, чтобы названия продуктов отражались в нашем наборе результатов запросов. Мы создаем поисковый файл со следующими деталями. Здесь мы сохранили имя первого поля как productid, которое совпадает с полем, которое мы собираемся использовать из набора данных.
productId,productdescription WC-SH-G04,Tablets DB-SG-G01,PCs DC-SG-G02,MobilePhones SC-MG-G10,Wearables WSC-MG-G10,Usb Light GT-SC-G01,Battery SF-BVS-G01,Hard Drive
Добавьте файл поиска
Затем мы добавляем поисковый файл в среду Splunk с помощью экранов настроек, как показано ниже —
После выбора поисков у нас появляется экран для создания и настройки поиска. Мы выбираем файлы таблицы поиска, как показано ниже.
Мы просматриваем, чтобы выбрать файл productidvals.csv в качестве нашего файла поиска для загрузки, и выбираем поиск в качестве целевого приложения. Мы также сохраняем имя файла назначения.
При нажатии кнопки «Сохранить» файл сохраняется в хранилище Splunk в виде файла поиска.
Создать определения поиска
Чтобы поисковый запрос мог искать значения из файла подстановки, который мы только что загрузили выше, нам нужно создать определение подстановки. Мы делаем это, снова перейдя в Настройки → Поиск → Определение поиска → Добавить новый .
Затем мы проверяем доступность добавленного определения поиска, перейдя в « Настройки» → «Поиск» → «Определение поиска» .
Выбор поля поиска
Далее нам нужно выбрать поле поиска для нашего поискового запроса. Это сделано, перейдя в Новый поиск → Все поля . Затем установите флажок для продукта, который автоматически добавит поле productdescription из файла поиска.
Использование поля поиска
Теперь мы используем поле «Уточняющий запрос» в поисковом запросе, как показано ниже. Визуализация показывает результат с полем productdescription вместо productid.