Splunk - Pesquisar macros

Macros de pesquisa são blocos reutilizáveis ​​de Search Processing Language (SPL) que você pode inserir em outras pesquisas. Eles são usados ​​quando você deseja usar a mesma lógica de pesquisa em partes ou valores diferentes no conjunto de dados dinamicamente. Eles podem aceitar argumentos dinamicamente e o resultado da pesquisa será atualizado de acordo com os novos valores.

Criação de Macro

Para criar a macro de pesquisa, vamos para o settings → Advanced Search → Search macros → Add new. Isso traz a tela abaixo, onde começamos a criar a macro.

Cenário Macro

Queremos mostrar várias estatísticas sobre o tamanho do arquivo do web_applicationsregistro. As estatísticas são sobre os valores máximos, mínimos e médios do tamanho do arquivo usando o campo bytes no log. O resultado deve exibir essas estatísticas para cada arquivo listado no log.

Portanto, aqui o tipo de estatísticas é de natureza dinâmica. O nome da função de estatísticas será passado como um argumento para a macro.

Definindo a Macro

A seguir, definimos a macro configurando várias propriedades, conforme mostrado na tela abaixo. O nome da macro contém (1), indicando que há um argumento a ser passado para a macro quando é usado na string de pesquisa.fun é o argumento que será passado para a macro durante a execução da consulta de pesquisa.

Usando a macro

Para usar a macro, nós a tornamos parte da string de pesquisa. Ao passar valores diferentes para o argumento, vemos resultados diferentes conforme o esperado.

Considere encontrar o tamanho médio em bytes dos arquivos. Passamos avg como o argumento e obtemos o resultado conforme mostrado abaixo. A macro foi mantida sob o sinal `como parte da consulta de pesquisa.

Da mesma forma, se quisermos o tamanho máximo de arquivo para cada um dos arquivos presentes no log, usamos maxcomo o argumento. O resultado é mostrado abaixo.