Splunk - Feldsuche

Wenn Splunk die hochgeladenen Maschinendaten liest, interpretiert es die Daten und teilt sie in viele Felder auf, die eine einzige logische Tatsache über den gesamten Datensatz darstellen.

Beispielsweise kann ein einzelner Informationsdatensatz den Servernamen, den Zeitstempel des Ereignisses, den Typ des zu protokollierenden Ereignisses, ob Anmeldeversuch oder eine http-Antwort usw. enthalten. Selbst bei unstrukturierten Daten versucht Splunk, die Felder in Schlüsselwerte zu unterteilen Paare oder trennen Sie sie basierend auf den Datentypen, die sie haben, numerisch und Zeichenfolge usw.

Wenn Sie mit den im vorherigen Kapitel hochgeladenen Daten fortfahren, sehen Sie die Felder aus dem secure.logKlicken Sie auf den Link Felder anzeigen, um den folgenden Bildschirm zu öffnen. Wir können die Felder feststellen, die Splunk aus dieser Protokolldatei generiert hat.

Felder auswählen

Wir können auswählen, welche Felder angezeigt werden sollen, indem wir die Felder aus der Liste aller Felder auswählen oder deren Auswahl aufheben. Klicken Sie aufall fieldsöffnet ein Fenster mit der Liste aller Felder. Einige dieser Felder sind mit Häkchen versehen, um anzuzeigen, dass sie bereits ausgewählt sind. Wir können die Kontrollkästchen verwenden, um unsere Felder für die Anzeige auszuwählen.

Neben dem Namen des Felds werden die Anzahl der unterschiedlichen Werte der Felder, der Datentyp und der Prozentsatz der Ereignisse angezeigt, in denen dieses Feld vorhanden ist.

Feldzusammenfassung

Sehr detaillierte Statistiken für jedes ausgewählte Feld werden verfügbar, indem Sie auf den Namen des Feldes klicken. Es zeigt alle unterschiedlichen Werte für das Feld, ihre Anzahl und ihre Prozentsätze.

Felder in der Suche verwenden

Die Feldnamen können zusammen mit den spezifischen Werten für die Suche auch in das Suchfeld eingefügt werden. Im folgenden Beispiel möchten wir alle Datensätze für das Datum, den 15. Oktober, für den genannten Host findenmailsecure_log. Wir erhalten das Ergebnis für dieses bestimmte Datum.