Splunk - Tra cứu
Trong kết quả của một truy vấn tìm kiếm, đôi khi chúng tôi nhận được các giá trị có thể không truyền đạt rõ ràng ý nghĩa của trường. Ví dụ: chúng tôi có thể nhận được một trường liệt kê giá trị của id sản phẩm dưới dạng kết quả số. Những con số này sẽ không cho chúng ta biết nó là loại sản phẩm nào. Nhưng nếu chúng tôi liệt kê tên sản phẩm cùng với id sản phẩm, điều đó sẽ mang lại cho chúng tôi một báo cáo tốt trong đó chúng tôi hiểu ý nghĩa của kết quả tìm kiếm.
Việc liên kết các giá trị của một trường với một trường có cùng tên trong tập dữ liệu khác bằng cách sử dụng các giá trị bằng nhau từ cả hai tập dữ liệu được gọi là quá trình tra cứu. Ưu điểm là, chúng tôi lấy các giá trị liên quan từ hai tập dữ liệu khác nhau.
Các bước tạo và sử dụng tệp tra cứu
Để tạo thành công trường tra cứu trong tập dữ liệu, chúng ta cần làm theo các bước sau:
Tạo tệp tra cứu
Chúng tôi coi tập dữ liệu với máy chủ lưu trữ là web_application và xem xét trường sản xuất. Trường này chỉ là một số, nhưng chúng tôi muốn tên sản phẩm được phản ánh trong tập kết quả truy vấn của chúng tôi. Chúng tôi tạo một tệp tra cứu với các chi tiết sau. Ở đây, chúng tôi đã giữ tên của trường đầu tiên làproductid trường này giống với trường chúng ta sẽ sử dụng từ tập dữ liệu.
productId,productdescription
WC-SH-G04,Tablets
DB-SG-G01,PCs
DC-SG-G02,MobilePhones
SC-MG-G10,Wearables
WSC-MG-G10,Usb Light
GT-SC-G01,Battery
SF-BVS-G01,Hard Drive
Thêm tệp tra cứu
Tiếp theo, chúng tôi thêm tệp tra cứu vào môi trường Splunk bằng cách sử dụng màn hình Cài đặt như hình dưới đây -
Sau khi chọn Tra cứu, chúng ta sẽ thấy một màn hình để tạo và cấu hình tra cứu. Chúng tôi chọn các tệp bảng tra cứu như hình dưới đây.
Chúng tôi duyệt để chọn tệp productidvals.csvdưới dạng tệp tra cứu của chúng tôi sẽ được tải lên và chọn tìm kiếm làm ứng dụng đích của chúng tôi. Chúng tôi cũng giữ cùng một tên tệp đích.
Khi nhấp vào nút lưu, tệp sẽ được lưu vào kho lưu trữ Splunk dưới dạng tệp tra cứu.
Tạo định nghĩa tra cứu
Đối với một truy vấn tìm kiếm để có thể tra cứu các giá trị từ tệp Tra cứu mà chúng ta vừa tải lên ở trên, chúng ta cần tạo một định nghĩa tra cứu. Chúng tôi làm điều này bằng cách một lần nữaSettings → Lookups → Lookup Definition → Add New .
Tiếp theo, chúng tôi kiểm tra tính khả dụng của định nghĩa tra cứu mà chúng tôi đã thêm bằng cách đi tới Settings → Lookups → Lookup Definition .
Chọn trường tra cứu
Tiếp theo, chúng ta cần chọn trường tra cứu cho truy vấn tìm kiếm của mình. Điều này được thực hiện xong tôi sẽ làm New search → All Fields . Sau đó, chọn hộp choproductid cái này sẽ tự động thêm productdescription cũng từ tệp tra cứu.
Sử dụng Trường tra cứu
Bây giờ chúng ta sử dụng trường Tra cứu trong truy vấn tìm kiếm như hình dưới đây. Hình ảnh hiển thị kết quả với trường mô tả sản phẩm thay vì sản phẩm.