Splunk - Подпоиск

Подпоиск - это частный случай обычного поиска, когда результат вторичного или внутреннего запроса является входом для первичного или внешнего запроса. Это похоже на концепцию подзапроса в случае языка SQL. В Splunk первичный запрос должен возвращать один результат, который может быть введен во внешний или вторичный запрос.

Если поиск содержит подпоиск, он запускается первым. Подпоиск необходимо заключать в квадратные скобки при первичном поиске.

пример

Мы рассматриваем случай нахождения файла из веб-журнала с максимальным размером байта. Но это может меняться каждый день. Затем мы хотим найти только те события, у которых размер файла равен максимальному размеру, а это воскресенье.

Создать подпоиск

Сначала мы создаем подпроект, чтобы найти максимальный размер файла. Воспользуемся функциейStat maxс полем с именем bytes в качестве аргумента. Это определяет максимальный размер файла для периода времени, для которого выполняется поисковый запрос.

На изображении ниже показан поиск и результат этого подисследования -

Добавление подпоиска

Затем мы добавляем дополнительный поиск к основному или внешнему запросу, помещая его в квадратные скобки. Также в поисковый запрос добавляется предложение поиска.

Как мы видим, результат содержит только те события, размер файла которых равен максимальному размеру файла, найденному с учетом всех событий, а днем ​​события является воскресенье.

ja/tutorial
es/tutorial
de/tutorial
fr/tutorial
th/tutorial
pt/tutorial
ru/tutorial
vi/tutorial
it/tutorial
ko/tutorial
tr/tutorial
id/tutorial
pl/tutorial
hi/tutorial
japost
espost
depost
frpost
thpost
ptpost
rupost
vipost
itpost
kopost
trpost
idpost
plpost
hipost

© Copyright 2021 - 2024 | All Rights Reserved