Splunk-ルックアップ

検索クエリの結果、フィールドの意味が明確に伝わらない値が表示されることがあります。たとえば、製品IDの値を数値結果として一覧表示するフィールドを取得できます。これらの数字は、それがどのような製品であるかを私たちに教えてくれません。しかし、製品名と製品IDをリストすると、検索結果の意味を理解できる優れたレポートが得られます。

両方のデータセットからの等しい値を使用して、あるフィールドの値を別のデータセットの同じ名前のフィールドにリンクすることを、ルックアッププロセスと呼びます。利点は、2つの異なるデータセットから関連する値を取得することです。

ルックアップファイルを作成して使用する手順

データセットにルックアップフィールドを正常に作成するには、次の手順に従う必要があります-

ルックアップファイルを作成する

ホストを含​​むデータセットをweb_applicationと見なし、productidフィールドを確認します。このフィールドは単なる数値ですが、製品名をクエリ結果セットに反映させたいと考えています。以下の詳細を含むルックアップファイルを作成します。ここでは、最初のフィールドの名前を次のように保持しています。productid これは、データセットから使用するフィールドと同じです。

productId,productdescription
WC-SH-G04,Tablets
DB-SG-G01,PCs
DC-SG-G02,MobilePhones
SC-MG-G10,Wearables 
WSC-MG-G10,Usb Light
GT-SC-G01,Battery
SF-BVS-G01,Hard Drive

ルックアップファイルを追加する

次に、以下に示す設定画面を使用して、ルックアップファイルをSplunk環境に追加します-

ルックアップを選択すると、ルックアップを作成および構成するための画面が表示されます。以下に示すように、ルックアップテーブルファイルを選択します。

ファイルを参照して選択します productidvals.csvアップロードするルックアップファイルとして、宛先アプリとして検索を選択します。また、同じ宛先ファイル名を保持します。

保存ボタンをクリックすると、ファイルはルックアップファイルとしてSplunkリポジトリに保存されます。

ルックアップ定義を作成する

上記でアップロードしたルックアップファイルから値をルックアップできる検索クエリを作成するには、ルックアップ定義を作成する必要があります。私たちは再び行くことによってこれを行いますSettings → Lookups → Lookup Definition → Add New

次に、次の場所に移動して、追加したルックアップ定義の可用性を確認します。 Settings → Lookups → Lookup Definition

ルックアップフィールドの選択

次に、検索クエリのルックアップフィールドを選択する必要があります。これは私の行くことです New search → All Fields 。次に、チェックボックスをオンにしますproductid 自動的に追加されます productdescription ルックアップファイルのフィールドも。

ルックアップフィールドの使用

次に示すように、検索クエリで[ルックアップ]フィールドを使用します。ビジュアライゼーションには、productidではなくproductdescriptionフィールドを使用して結果が表示されます。

ja/tutorial
es/tutorial
de/tutorial
fr/tutorial
th/tutorial
pt/tutorial
ru/tutorial
vi/tutorial
it/tutorial
ko/tutorial
tr/tutorial
id/tutorial
pl/tutorial
hi/tutorial
japost
espost
depost
frpost
thpost
ptpost
rupost
vipost
itpost
kopost
trpost
idpost
plpost
hipost

© Copyright 2021 - 2024 | All Rights Reserved