Splunk - Базовый поиск
Splunk имеет надежную функцию поиска, которая позволяет выполнять поиск по всему набору данных, которые были получены. Доступ к этой функции осуществляется через приложение с именемSearch & Reporting который можно увидеть на левой боковой панели после входа в веб-интерфейс.
При нажатии на search & Reporting app перед нами появляется окно поиска, в котором мы можем начать поиск по данным журнала, которые мы загрузили в предыдущей главе.
Мы вводим имя хоста в формате, показанном ниже, и щелкаем значок поиска в правом верхнем углу. Это дает нам результат, выделяющий поисковый запрос.
Объединение поисковых запросов
Мы можем комбинировать термины, используемые для поиска, записывая их один за другим, но помещая строки поиска пользователя в двойные кавычки.
Использование подстановочного знака
Мы можем использовать подстановочные знаки в нашей опции поиска в сочетании с AND/ORоператоры. В приведенном ниже поиске мы получаем результат, в котором в файле журнала есть термины, содержащие сбой, сбой, сбой и т. Д., А также термин пароль в той же строке.
Уточнение результатов поиска
Мы можем дополнительно уточнить результат поиска, выбрав строку и добавив ее в поиск. В приведенном ниже примере мы нажимаем на строку3351 и выберите вариант Add to Search.
После 3351добавляется к поисковому запросу, мы получаем результат ниже, который показывает только те строки из журнала, которые содержат 3351 в них. Также отметьте, как изменилась временная шкала результатов поиска по мере того, как мы уточняли поиск.