Splunk-検索マクロ

検索マクロは、他の検索に挿入できる検索処理言語（SPL）の再利用可能なブロックです。これらは、データセット内の異なる部分または値に対して同じ検索ロジックを動的に使用する場合に使用されます。それらは動的に引数を取ることができ、検索結果は新しい値に従って更新されます。

マクロの作成

検索マクロを作成するには、 settings → Advanced Search → Search macros → Add new。これにより、マクロの作成を開始する以下の画面が表示されます。

からのファイルサイズに関するさまざまな統計を表示したい web_applicationsログ。統計は、ログのバイトフィールドを使用したファイルサイズの最大値、最小値、および平均値に関するものです。結果には、ログにリストされている各ファイルのこれらの統計が表示されます。

したがって、ここでは、統計のタイプは本質的に動的です。stats関数の名前は、引数としてマクロに渡されます。

次に、下の画面に示すように、さまざまなプロパティを設定してマクロを定義します。マクロの名前には（1）が含まれており、検索文字列で使用されるときにマクロに渡される引数が1つあることを示しています。fun 検索クエリの実行中にマクロに渡される引数です。

マクロを使用するには、マクロを検索文字列の一部にします。引数に異なる値を渡すと、期待どおりに異なる結果が表示されます。

ファイルの平均サイズをバイト単位で見つけることを検討してください。引数としてavgを渡し、次のような結果を取得します。マクロは、検索クエリの一部として `記号の下に保持されています。

同様に、ログに存在する各ファイルの最大ファイルサイズが必要な場合は、次を使用します。 max引数として。結果は以下のようになります。