Splunk - การค้นหา

ในผลลัพธ์ของคำค้นหาบางครั้งเราได้รับค่าที่อาจไม่ได้สื่อความหมายของเขตข้อมูลอย่างชัดเจน ตัวอย่างเช่นเราอาจได้รับฟิลด์ที่แสดงค่าของรหัสผลิตภัณฑ์เป็นผลลัพธ์ที่เป็นตัวเลข ตัวเลขเหล่านี้จะไม่ทำให้เราทราบได้เลยว่าเป็นผลิตภัณฑ์ประเภทใด แต่ถ้าเราแสดงชื่อผลิตภัณฑ์พร้อมกับรหัสผลิตภัณฑ์นั่นจะทำให้เรามีรายงานที่ดีซึ่งเราเข้าใจความหมายของผลการค้นหา

การเชื่อมโยงค่าของเขตข้อมูลหนึ่งไปยังเขตข้อมูลที่มีชื่อเดียวกันในชุดข้อมูลอื่นโดยใช้ค่าที่เท่ากันจากทั้งสองชุดข้อมูลเรียกว่ากระบวนการค้นหา ข้อดีคือเราดึงค่าที่เกี่ยวข้องจากชุดข้อมูลสองชุดที่แตกต่างกัน

ขั้นตอนในการสร้างและใช้ไฟล์ค้นหา

ในการสร้างเขตข้อมูลการค้นหาในชุดข้อมูลให้สำเร็จเราต้องทำตามขั้นตอนด้านล่างนี้ -

สร้างไฟล์การค้นหา

เราพิจารณาชุดข้อมูลที่มีโฮสต์เป็น web_application และดูที่ฟิลด์ productid ฟิลด์นี้เป็นเพียงตัวเลข แต่เราต้องการให้ชื่อผลิตภัณฑ์แสดงในชุดผลลัพธ์การสืบค้นของเรา เราสร้างไฟล์การค้นหาโดยมีรายละเอียดดังต่อไปนี้ ที่นี่เรายังคงชื่อของฟิลด์แรกเป็นproductid ซึ่งเหมือนกับฟิลด์ที่เราจะใช้จากชุดข้อมูล

productId,productdescription
WC-SH-G04,Tablets
DB-SG-G01,PCs
DC-SG-G02,MobilePhones
SC-MG-G10,Wearables 
WSC-MG-G10,Usb Light
GT-SC-G01,Battery
SF-BVS-G01,Hard Drive

เพิ่มไฟล์การค้นหา

ต่อไปเราจะเพิ่มไฟล์ค้นหาในสภาพแวดล้อม Splunk โดยใช้หน้าจอการตั้งค่าดังที่แสดงด้านล่าง -

หลังจากเลือกการค้นหาเราจะพบกับหน้าจอสำหรับสร้างและกำหนดค่าการค้นหา เราเลือกไฟล์ตารางการค้นหาตามที่แสดงด้านล่าง

เราเรียกดูเพื่อเลือกไฟล์ productidvals.csvเป็นไฟล์ค้นหาของเราที่จะอัปโหลดและเลือกค้นหาเป็นแอปปลายทางของเรา เรายังเก็บชื่อไฟล์ปลายทางเดียวกัน

เมื่อคลิกปุ่มบันทึกไฟล์จะถูกบันทึกลงในที่เก็บ Splunk เป็นไฟล์ค้นหา

สร้างคำจำกัดความการค้นหา

เพื่อให้คำค้นหาสามารถค้นหาค่าจากไฟล์ Lookup ที่เราเพิ่งอัปโหลดด้านบนเราจำเป็นต้องสร้างข้อกำหนดการค้นหา เราทำสิ่งนี้อีกครั้งโดยไปที่Settings → Lookups → Lookup Definition → Add New .

ต่อไปเราจะตรวจสอบความพร้อมใช้งานของข้อกำหนดการค้นหาที่เราเพิ่มโดยไปที่ Settings → Lookups → Lookup Definition .

การเลือกฟิลด์การค้นหา

ต่อไปเราต้องเลือกช่องค้นหาสำหรับคำค้นหาของเรา เสร็จแล้วฉันจะไป New search → All Fields . จากนั้นทำเครื่องหมายที่ช่องสำหรับproductid ซึ่งจะเพิ่มไฟล์ productdescription จากไฟล์การค้นหาด้วย

การใช้ฟิลด์การค้นหา

ตอนนี้เราใช้ฟิลด์ Lookup ในคำค้นหาดังที่แสดงด้านล่าง การแสดงภาพจะแสดงผลลัพธ์ด้วยฟิลด์ productdescription แทน productid