在本节中,我们将学习如何在 Splunk 中进行字段搜索。此外,我们将了解提取字段、索引时间、搜索时间、使用字段进行搜索。
字段在系统数据中以多种方式出现。有时,区域是在一行上具有固定的分隔位置的值,或者是一对名称和值,其中每个字段名称具有单一含义。一个字段可以是多值的;也就是说,一个字段在一个case中可以有多个值。
字段的一些示例包括访问您的网站的IP地址的客户端IP 、事件时间戳的时间和站点域名的主机。
电子邮件地址字段是多值字段最常见的示例之一。虽然 From 字段只包含一个电子邮件地址,但 To 和 Cc 字段具有一个或多个对应的电子邮件地址。
字段是可搜索的名称和值的配对,可将一个事件与另一个事件区分开来。并非每个案例都具有相同的字段和值。使用这些字段编写更多自定义搜索,以获取您想要的独特事件。
在索引时间和搜索时间,Splunk 程序从事件数据中提取字段。
Splunk程序从获取新数据到数据写入索引的时间段。在索引时间内对数据进行分段和事件分析。提取默认字段和时间戳,并添加转换此时也已完成。
时间跨度从搜索开始时开始,到搜索结束时结束。在搜索阶段会发生几种类型的事件处理,例如搜索阶段-字段提取、字段别名、源类型重命名、事件类型匹配等。
对于每个事件,在索引数据时会提取默认字段和其他索引字段。
如果要查找字段,请使用语法
字段名称 = 字段值语法。
字段名称区分大小写,但字段值不区分大小写。
通配符可以包含在字段值中。
如果字段值中包含空格,则需要使用引号。
让我们进行一些挖掘。
单击搜索以在应用栏中启动新搜索。请注意,默认时间跨度设置回过去 24 小时。
要在 sourcetype 字段中搜索以 access 开头的任何值,请运行以下搜索。
滚动搜索结果到事件列表。如果您熟悉 Apache 日志的访问组合格式,您可以识别每种情况下的一些细节,作为访问网站的用户的 IP 地址。
字段选项卡位于事件列的左侧。在检索适合您任务的事件时,边栏字段会更新Selected Fields和Interesting Fields的列表。这些是 Splunk 应用程序从数据中派生的字段。
当我们搜索时,Selected Fields列表包含默认字段host、source和sourcetype。这些默认字段出现在每个事件中。
有趣的领域——它们是至少发生 20% 事件的领域。
您可以指定其他字段显示在“选定字段”列表中。将字段添加到“选定字段”列表时,字段名称和字段值将包含在搜索结果中。
现在让我们通过执行一些现场操作来了解 Splunk 平台。
当数据上传到 Splunk 平台时,Splunk 会自动对其进行监控,然后将其划分到不同的字段中。每个字段都有来自数据集的一些逻辑事实。
例如,该字段可能包含有关事件的时间戳、服务器名称、http 响应、登录尝试等信息。对于非结构化数据类型,Splunk 平台根据数据类型将字段区分为数字或字符串值。
Splunk 将 alpha (α) 分配给包含字符串值的字段,并将哈希 (#) 分配给区域,包括数值。
因为我们将继续使用我们之前上传的数据,即泰坦尼克数据集。通过像我们先做的那样在字段上进行搜索,我们可以注意到,当我们上传数据时,Splunk 会自动将其划分为不同的字段。作为参考,您可以看到下图。
我们可以选择要在数据集中显示的字段。我们需要单击“字段”部分右上角的“所有字段”。我们可以在上图中看到该选项。点击那个;然后,将出现一个窗口,显示您希望在上传数据中看到的所有字段。您可以勾选您希望显示的字段并取消勾选您不想显示的字段。作为参考,您可以查看下图。
除了字段,我们可以看到它还显示了各个字段的值,这意味着该字段包含多少种类型的值,类型 - 它告诉了字段的数据类型以及各个字段存在的事件百分比.
只需单击相应字段即可显示相应字段的详细统计信息。
它向我们展示了该字段包含的所有值、每个值的计数以及数据集中值的百分比。当我们点击Age字段时,它会显示它包含的所有值,如下图所示。
我们还可以在搜索框中插入字段名称以搜索任何特定字段。我们可以通过在搜索框中输入字段名称来添加它,也可以通过单击该字段并将其添加到搜索框中来添加它。
我们也可以在字段中使用通配符,也可以搜索特定的值。
在下面的示例中,我们在年龄字段中使用了通配符来搜索数据集中年龄的所有值。作为参考,请看下面的图片。
现在我们对搜索有了基本的了解,也对领域搜索有了一定的了解。
脚踏实地,探索更多。