Splunk - Aramalar
Bir arama sorgusu sonucunda bazen alanın anlamını net bir şekilde aktarmayan değerler elde ederiz. Örneğin, ürün kimliğinin değerini sayısal bir sonuç olarak listeleyen bir alan alabiliriz. Bu rakamlar bize ne tür bir ürün olduğu konusunda bir fikir vermeyecek. Ancak ürün adını ürün kimliğiyle birlikte listelersek, bu bize arama sonucunun anlamını anladığımız iyi bir rapor verir.
Her iki veri kümesinden eşit değerler kullanılarak bir alanın değerlerinin başka bir veri kümesindeki aynı ada sahip bir alana bu şekilde bağlanmasına arama işlemi denir. Avantajı, ilgili değerleri iki farklı veri setinden almamızdır.
Arama Dosyası Oluşturma ve Kullanma Adımları
Bir veri kümesinde başarıyla bir arama alanı oluşturmak için aşağıdaki adımları izlememiz gerekir -
Arama Dosyası Oluşturun
Host ile veri setini web_application olarak kabul ediyoruz ve productid alanına bakıyoruz. Bu alan yalnızca bir sayıdır, ancak ürün adlarının sorgu sonuç kümemize yansıtılmasını istiyoruz. Aşağıdaki detaylarla bir arama dosyası oluşturuyoruz. Burada ilk alanın adını şöyle tuttukproductid bu, veri kümesinden kullanacağımız alanla aynıdır.
productId,productdescription
WC-SH-G04,Tablets
DB-SG-G01,PCs
DC-SG-G02,MobilePhones
SC-MG-G10,Wearables
WSC-MG-G10,Usb Light
GT-SC-G01,Battery
SF-BVS-G01,Hard Drive
Arama Dosyasını Ekleyin
Daha sonra, aşağıda gösterildiği gibi Ayarlar ekranlarını kullanarak arama dosyasını Splunk ortamına ekliyoruz -
Aramaları seçtikten sonra, aramayı oluşturmak ve yapılandırmak için bir ekran sunulur. Arama tablosu dosyalarını aşağıda gösterildiği gibi seçiyoruz.
Dosyayı seçmek için göz atıyoruz productidvals.csvArama dosyamız yüklenecek ve hedef uygulamamız olarak aramayı seçin. Aynı hedef dosya adını da koruyoruz.
Kaydet düğmesine tıklandığında, dosya bir arama dosyası olarak Splunk havuzuna kaydedilir.
Arama Tanımları Oluşturun
Bir arama sorgusunun yukarıda yüklediğimiz Arama dosyasından değerleri arayabilmesi için bir arama tanımı oluşturmamız gerekiyor. Bunu tekrar gidip yapıyoruzSettings → Lookups → Lookup Definition → Add New .
Ardından, eklediğimiz arama tanımının kullanılabilirliğini şu adrese giderek kontrol ediyoruz: Settings → Lookups → Lookup Definition .
Arama Alanının Seçilmesi
Ardından, arama sorgumuz için arama alanını seçmemiz gerekiyor. Bu benim gitmem bitti New search → All Fields . Sonra kutuyu işaretleyinproductid otomatik olarak ekleyecek productdescription Arama dosyasındaki alan da.
Arama Alanını Kullanma
Şimdi arama sorgusundaki Lookup alanını aşağıda gösterildiği gibi kullanıyoruz. Görselleştirme, sonucu ürün kimliği yerine ürün açıklaması alanıyla gösterir.