Splunk - Grundlegende Suche

Splunk verfügt über eine robuste Suchfunktion, mit der Sie den gesamten aufgenommenen Datensatz durchsuchen können. Auf diese Funktion wird über die App mit dem Namen zugegriffenSearch & Reporting Dies wird in der linken Leiste angezeigt, nachdem Sie sich bei der Weboberfläche angemeldet haben.

Beim Klicken auf die search & Reporting App wird uns ein Suchfeld angezeigt, in dem wir unsere Suche nach den Protokolldaten starten können, die wir im vorherigen Kapitel hochgeladen haben.

Wir geben den Hostnamen in dem unten gezeigten Format ein und klicken auf das Suchsymbol in der rechten Ecke. Dies gibt uns das Ergebnis, das den Suchbegriff hervorhebt.

Suchbegriffe kombinieren

Wir können die für die Suche verwendeten Begriffe kombinieren, indem wir sie nacheinander schreiben, aber die Benutzersuchzeichenfolgen in doppelte Anführungszeichen setzen.

Platzhalter verwenden

Wir können Platzhalter in unserer Suchoption in Kombination mit dem verwenden AND/ORBetreiber. Bei der folgenden Suche erhalten wir das Ergebnis, bei dem die Protokolldatei die Begriffe "Fehler", "Fehler", "Fehler" usw. sowie den Begriff "Kennwort" in derselben Zeile enthält.

Suchergebnisse verfeinern

Wir können das Suchergebnis weiter verfeinern, indem wir eine Zeichenfolge auswählen und der Suche hinzufügen. Im folgenden Beispiel klicken wir auf die Zeichenfolge3351 und wählen Sie die Option Add to Search.

Nach 3351Wenn dem Suchbegriff hinzugefügt wird, erhalten wir das folgende Ergebnis, das nur die Zeilen aus dem Protokoll anzeigt, die 3351 enthalten. Markieren Sie auch, wie sich die Zeitleiste des Suchergebnisses geändert hat, während wir die Suche verfeinert haben.

ja/tutorial
es/tutorial
de/tutorial
fr/tutorial
th/tutorial
pt/tutorial
ru/tutorial
vi/tutorial
it/tutorial
ko/tutorial
tr/tutorial
id/tutorial
pl/tutorial
hi/tutorial
japost
espost
depost
frpost
thpost
ptpost
rupost
vipost
itpost
kopost
trpost
idpost
plpost
hipost

© Copyright 2021 - 2024 | All Rights Reserved