Splunk - การค้นหาย่อย

Subsearch เป็นกรณีพิเศษของการค้นหาปกติเมื่อผลลัพธ์ของเคียวรีรองหรือภายในเป็นอินพุตของคิวรีหลักหรือภายนอก คล้ายกับแนวคิดของแบบสอบถามย่อยในกรณีของภาษา SQL ใน Splunk แบบสอบถามหลักควรส่งคืนหนึ่งผลลัพธ์ซึ่งสามารถป้อนไปยังแบบสอบถามด้านนอกหรือแบบสอบถามรอง

เมื่อการค้นหามีการค้นหาย่อยการค้นหาย่อยจะถูกเรียกใช้ก่อน ตำแหน่งย่อยต้องอยู่ในวงเล็บเหลี่ยมในการค้นหาหลัก

ตัวอย่าง

เราพิจารณากรณีการค้นหาไฟล์จากบันทึกเว็บที่มีขนาดไบต์สูงสุด แต่นั่นอาจแตกต่างกันไปทุกวัน จากนั้นเราต้องการค้นหาเฉพาะเหตุการณ์ที่ขนาดไฟล์เท่ากับขนาดสูงสุดและเป็นวันอาทิตย์

สร้าง Subsearch

ก่อนอื่นเราสร้างการค้นหาย่อยเพื่อค้นหาขนาดไฟล์สูงสุด เราใช้ฟังก์ชันStat maxโดยมีฟิลด์ชื่อไบต์เป็นอาร์กิวเมนต์ ค่านี้ระบุขนาดสูงสุดของไฟล์สำหรับกรอบเวลาที่เรียกใช้คำค้นหา

ภาพด้านล่างแสดงการค้นหาและผลลัพธ์ของการค้นหาย่อยนี้ -

การเพิ่ม Subsearch

ต่อไปเราจะเพิ่มการสืบค้นข้อมูลย่อยลงในคิวรีหลักหรือคิวรีด้านนอกโดยใส่คำค้นหาย่อยไว้ในวงเล็บเหลี่ยม นอกจากนี้ยังมีการเพิ่มส่วนคำสั่งค้นหาลงในแบบสอบถามค้นหาย่อย

ตามที่เราเห็นผลลัพธ์จะมีเฉพาะเหตุการณ์ที่ขนาดไฟล์เท่ากับขนาดไฟล์สูงสุดที่พบโดยพิจารณาจากเหตุการณ์ทั้งหมดและวันที่จัดกิจกรรมคือวันอาทิตย์