Splunk - Поиск

В результате поискового запроса мы иногда получаем значения, которые не могут четко передать значение поля. Например, мы можем получить поле, в котором указано значение идентификатора продукта в виде числового результата. Эти цифры не дадут нам представления о том, что это за продукт. Но если мы укажем название продукта вместе с идентификатором продукта, это даст нам хороший отчет, в котором мы понимаем значение результата поиска.

Такое связывание значений одного поля с полем с тем же именем в другом наборе данных с использованием одинаковых значений из обоих наборов данных называется процессом поиска. Преимущество состоит в том, что мы получаем связанные значения из двух разных наборов данных.

Шаги по созданию и использованию файла поиска

Чтобы успешно создать поле поиска в наборе данных, нам необходимо выполнить следующие шаги:

Создать файл поиска

Мы рассматриваем набор данных с хостом как web_application и смотрим на поле productid. Это поле представляет собой просто число, но мы хотим, чтобы названия продуктов отражались в наборе результатов нашего запроса. Мы создаем файл поиска со следующими деталями. Здесь мы сохранили имя первого поля какproductid которое совпадает с полем, которое мы собираемся использовать из набора данных.

productId,productdescription
WC-SH-G04,Tablets
DB-SG-G01,PCs
DC-SG-G02,MobilePhones
SC-MG-G10,Wearables 
WSC-MG-G10,Usb Light
GT-SC-G01,Battery
SF-BVS-G01,Hard Drive

Добавить файл поиска

Затем мы добавляем файл поиска в среду Splunk с помощью экранов настроек, как показано ниже -

После выбора поиска нам предоставляется экран для создания и настройки поиска. Мы выбираем файлы таблицы поиска, как показано ниже.

Мы просматриваем, чтобы выбрать файл productidvals.csvв качестве файла поиска для загрузки и выберите поиск в качестве целевого приложения. Мы также сохраняем то же имя файла назначения.

При нажатии кнопки сохранения файл сохраняется в репозитории Splunk как файл поиска.

Создать определения поиска

Чтобы поисковый запрос мог искать значения из файла подстановки, который мы только что загрузили выше, нам нужно создать определение подстановки. Мы делаем это, снова перейдя кSettings → Lookups → Lookup Definition → Add New .

Затем мы проверяем доступность добавленного нами определения поиска, перейдя в Settings → Lookups → Lookup Definition .

Выбор поля поиска

Далее нам нужно выбрать поле поиска для нашего поискового запроса. Это сделано, я собираюсь New search → All Fields . Затем установите флажокproductid который автоматически добавит productdescription также из файла поиска.

Использование поля поиска

Теперь мы используем поле поиска в поисковом запросе, как показано ниже. Визуализация показывает результат с полем описания продукта вместо продукта.