Splunk - Tìm kiếm trường
Khi Splunk đọc dữ liệu máy được tải lên, nó sẽ diễn giải dữ liệu và chia dữ liệu đó thành nhiều trường thể hiện một thực tế logic duy nhất về toàn bộ bản ghi dữ liệu.
Ví dụ: một bản ghi thông tin đơn lẻ có thể chứa tên máy chủ, dấu thời gian của sự kiện, loại sự kiện được ghi lại cho dù nỗ lực đăng nhập hay phản hồi http, v.v. Ngay cả trong trường hợp dữ liệu không có cấu trúc, Splunk cố gắng chia các trường thành giá trị khóa ghép hoặc tách chúng dựa trên kiểu dữ liệu mà chúng có, số và chuỗi, v.v.
Tiếp tục với dữ liệu đã tải lên trong chương trước, chúng ta có thể thấy các trường từ secure.logbằng cách nhấp vào liên kết hiển thị các trường sẽ mở ra màn hình sau. Chúng ta có thể nhận thấy các trường mà Splunk đã tạo từ tệp nhật ký này.
Chọn các trường
Chúng ta có thể chọn các trường sẽ được hiển thị bằng cách chọn hoặc bỏ chọn các trường từ danh sách tất cả các trường. Nhấp vàoall fieldsmở một cửa sổ hiển thị danh sách tất cả các trường. Một số trường này có dấu kiểm đối với chúng cho thấy chúng đã được chọn. Chúng tôi có thể sử dụng các hộp kiểm để chọn các trường của chúng tôi để hiển thị.
Bên cạnh tên của trường, nó hiển thị số lượng giá trị riêng biệt mà các trường có, kiểu dữ liệu của nó và tỷ lệ phần trăm sự kiện mà trường này có mặt.
Tóm tắt trường
Số liệu thống kê rất chi tiết cho mọi trường đã chọn sẽ có sẵn bằng cách nhấp vào tên của trường. Nó hiển thị tất cả các giá trị riêng biệt cho trường, số lượng và tỷ lệ phần trăm của chúng.
Sử dụng các trường trong tìm kiếm
Tên trường cũng có thể được chèn vào hộp tìm kiếm cùng với các giá trị cụ thể cho tìm kiếm. Trong ví dụ dưới đây, chúng tôi muốn tìm tất cả các bản ghi cho ngày, ngày 15 tháng 10 cho máy chủ có tênmailsecure_log. Chúng tôi nhận được kết quả cho ngày cụ thể này.