Splunk 教程

Splunk 基本搜索

在本节中,我们将了解Splunk中的基本搜索我们还将了解匹配字符串、匹配搜索、如何从索引中检索事件、理解搜索结果、事件的时间线以及模式可视化统计。

我们在本节中构建从索引中检索事件的搜索。

本教程的数据取自titaniac.csv文件,该文件是我们之前在数据摄取时上传的。该文件包含泰坦尼克号上的人们的信息。

匹配搜索

搜索管理器还会根据您最近的搜索返回匹配搜索。如果您想从昨天或一周前运行相同的搜索,匹配搜索列表很有用。当您注销时,您的搜索历史记录将被保留。

开始学习搜索语言后,搜索助手会变得更加有用。当您键入搜索命令时,搜索向导会显示命令信息。

从索引中检索事件

让我们找出在我们的 titanic.csv 文件中有多少事件。

您在搜索字段中键入关键字以检索列出错误或失败的事件。如果您使用多个关键字,则需要定义布尔运算符,如 AND、OR 和 NOT。

当您键入多个关键字时,会隐含 AND 逻辑运算符。

例如,键入class与键入 titanic AND class 相同。

我正在设置有效搜索的时区。

  1. 开始新的搜索。

  2. 将时间范围更改为所有时间,默认为24 小时

  3. 在事件中搜索错误、失败、失败、失败或严重等术语。

  4. 单击时间范围选择器右侧的“搜索”图标以运行搜索。

为了更好地理解,请看下面的图片。

请记住,必须使用布尔运算符。符号星号 (*) 用作通配符以匹配丢失、丢失、失败、失败等。

计算布尔表达式时,括号内的单词优先。NOT 子句应在 OR 子句之前确定。AND 子句的优先级最低。

了解搜索结果

  • 搜索栏下方有四个选项卡:活动、模式、统计和可视化。

  • 您使用的搜索命令类型决定了搜索结果中显示的选项卡。您将在本教程的前面部分处理“事件”选项卡。稍后您将了解本教程中的其他选项卡。

  • 事件选项卡显示事件的时间线、选项列表、侧栏字段。

  • 默认情况下,事件显示为按顺序排列的列表,从最近的事件开始。在每种情况下都应突出显示相应的搜索词。

  • 选项列表显示在有关案例的三列中显示详细信息。

更改事件查看器的显示。

  1. 选择List选项并单击Table显示的更改是为了显示每个选定字段的事件信息列、时间戳和列。

  2. 将显示更改回列表

事件时间表

事件时间线是在每个时间点发生的事件数量的直观表示。随着时间线随着搜索结果的变化而出现条形图案集群。每个条的高度显示出现次数。时间线的高峰或低谷可能表示活动高峰或服务器停机时间。时间线显示事件趋势或事件活动的高峰和低点。时间表的选项位于时间线上方。您可以放大、缩小和调整时间线图表的大小。

字段侧边栏

  • 将数据添加到 Splunk 平台时,它会为数据编制索引。作为索引过程的一部分,从数据中提取信息,并将其结构化为名称和值对,称为字段。当您运行搜索时,在您的搜索结果旁边,这些字段将被标记并在侧边栏字段中进行描述。字段分为两组。

  • 所选字段在事件结果中可见。默认情况下,会显示主机、源和源类型。您可以选择其他字段以显示在结果中的事件中。

  • 有趣的字段是从事件中提取的字段。

您可以隐藏字段的侧边栏以最大化结果区域。

模式、可视化和统计

Patterns 选项卡表示您的搜索返回的事件集合中最常见的模式列表。这些模式中的每一个都代表具有共同结构的事件。

当您运行任务时,“统计”选项卡会填充转换命令,例如 stats、top、map 等。

可视化选项卡还使用转换命令填充搜索。Visualizations 选项卡结果区域包含一个图表和用于创建图表的统计表。

您将在本教程的后面部分学习如何转换命令,以及如何使用统计信息和可视化选项卡。

如何在 Splunk 中搜索

Splunk具有新的快速搜索功能。它可以帮助我们搜索在 Splunk 中摄取的整个数据集。我们只需单击Splunk 平台左侧的“搜索和报告”选项即可使用此功能。点击它。

单击此选项后,屏幕上将出现一个新页面,在窗口顶部显示新搜索。

在这里,我们在顶部有一个搜索栏,我们可以从上传的数据库中搜索我们想要的任何内容。

我们将编写索引和名称,如下图所示,这是我们在数据摄取教程中上传数据时在索引名称中提供的。我们可以按键盘上的 Enter 按钮,也可以单击搜索栏右端的搜索图标。

笔记

  • 确保将搜索的时区设置为All-Time,正如我们在本教程开始时在“设置有效搜索的时区”标题下所讨论的那样。

  • 设置搜索时间是非常重要的一步,因为 Splunk 的默认功能是为进出 Splunk 的每个数据提供时间戳。

  • 很多时候,我们会在错误的时区搜索数据,导致我们无法从 Splunk 平台获得有效的结果。在这个时区中,我们有几个选项可以帮助我们有效地设置时区。我们可以将其设置为实时、相对时间或所有时间。

  • 我们还可以在我们希望有效搜索数据的时区选项中设置日期。

当我们在设置正确的时区后点击搜索按钮,我们将得到结果。结果将包含与名为 titanic 的索引关联的所有数据,正如我们在屏幕上看到的那样。

组合搜索词

我们还可以通过组合不同的搜索边界在我们的搜索栏上进行搜索。但是我们必须确保搜索词的格式必须与文件或字段中的格式相同,因为 Splunk 搜索区分大小写。

有时写字符串可能不会返回值,所以我们必须注意组合不同的搜索边界,我们必须将搜索字符串写在双引号下。

使用通配符

我们还可以使用通配符在我们的数据集中进行有效搜索。我们还可以将通配符与其他逻辑运算符(如 AND、OR)结合使用。在下面的搜索中,我们正在搜索数据集中所有以字母P开头的家乡。按下回车按钮后,我们在屏幕上得到以下所有事件的结果。这是所有家乡名称以字母P开头的民族的列表。

搜索结果的细化

我们还可以优化我们的搜索结果,以从我们的数据中获得最佳输出。我们也可以通过在搜索空间中添加一个字符串来进一步改进它。我们只需要将字符串写入搜索栏中,然后单击搜索按钮即可进行搜索。

在下面的示例中,我们只想在数据集中搜索单词Line,所以我们只是在搜索栏中写了 Line。然后返回的事件包含我们搜索的字符串。作为参考,您可以查看下图。

繁荣!您刚刚学习了如何在 Splunk 平台中进行搜索。现在继续点击平台并探索。

上一主题 Splunk 数据源类型 下一主题 Splunk 字段搜索
  • 使用社交账号登录,本站支持
全部评论(0)

便捷工具