Splunk - Tìm kiếm cơ bản
Splunk có chức năng tìm kiếm mạnh mẽ cho phép bạn tìm kiếm toàn bộ tập dữ liệu được nhập vào. Tính năng này được truy cập thông qua ứng dụng có tên làSearch & Reporting có thể thấy ở thanh bên trái sau khi đăng nhập vào giao diện web.
Khi nhấp vào search & Reporting ứng dụng, chúng tôi được giới thiệu với một hộp tìm kiếm, nơi chúng tôi có thể bắt đầu tìm kiếm trên dữ liệu nhật ký mà chúng tôi đã tải lên trong chương trước.
Chúng tôi gõ tên máy chủ theo định dạng như hình dưới đây và nhấp vào biểu tượng tìm kiếm ở góc phải bên phải. Điều này cho chúng tôi kết quả làm nổi bật cụm từ tìm kiếm.
Kết hợp các cụm từ tìm kiếm
Chúng tôi có thể kết hợp các cụm từ được sử dụng để tìm kiếm bằng cách viết chúng lần lượt nhưng đặt các chuỗi tìm kiếm của người dùng dưới dấu ngoặc kép.
Sử dụng thẻ Wild
Chúng tôi có thể sử dụng các thẻ đại diện trong tùy chọn tìm kiếm của mình kết hợp với AND/ORcác toán tử. Trong tìm kiếm bên dưới, chúng tôi nhận được kết quả trong đó tệp nhật ký có các cụm từ chứa fail, fail, fail, v.v., cùng với cụm từ mật khẩu trên cùng một dòng.
Tinh chỉnh kết quả tìm kiếm
Chúng tôi có thể tinh chỉnh thêm kết quả tìm kiếm bằng cách chọn một chuỗi và thêm nó vào tìm kiếm. Trong ví dụ dưới đây, chúng tôi nhấp qua chuỗi3351 và chọn tùy chọn Add to Search.
Sau 3351được thêm vào cụm từ tìm kiếm, chúng tôi nhận được kết quả bên dưới chỉ hiển thị những dòng từ nhật ký chứa 3351 trong đó. Đồng thời đánh dấu dòng thời gian của kết quả tìm kiếm đã thay đổi như thế nào khi chúng tôi đã tinh chỉnh tìm kiếm.