- Splunk 教程
- Splunk - 主页
- Splunk - 概述
- Splunk - 环境
- Splunk - 接口
- Splunk - 数据摄取
- Splunk - 源类型
- Splunk - 基本搜索
- Splunk - 现场搜索
- Splunk - 时间范围搜索
- Splunk - 共享和导出
- Splunk - 搜索语言
- Splunk - 搜索优化
- Splunk - 转换命令
- Splunk - 报告
- Splunk - 仪表板
- Splunk - 数据透视表和数据集
- Splunk - 查找
- Splunk - 时间表和警报
- Splunk - 知识管理
- Splunk - 子搜索
- Splunk - 搜索宏
- Splunk - 事件类型
- Splunk - 基本图表
- Splunk - 叠加图表
- Splunk - 迷你图
- Splunk - 管理索引
- Splunk - 计算字段
- Splunk - 标签
- Splunk - 应用程序
- Splunk - 删除数据
- Splunk - 自定义图表
- Splunk - 监控文件
- Splunk - 排序命令
- Splunk - 顶级命令
- Splunk - 统计命令
- Splunk 有用资源
- Splunk - 快速指南
- Splunk - 有用的资源
- Splunk - 讨论
Splunk - 现场搜索
当 Splunk 读取上传的机器数据时,它会解释数据并将其划分为许多字段,这些字段表示有关整个数据记录的单个逻辑事实。
例如,单个信息记录可能包含服务器名称、事件时间戳、正在记录的事件类型(无论是登录尝试还是 http 响应)等。即使在非结构化数据的情况下,Splunk 也会尝试将字段划分为键值根据它们所具有的数据类型(数字和字符串等)将它们配对或分开。
继续上一章中上传的数据,我们可以通过单击显示字段链接来查看secure.log文件中的字段,该链接将打开以下屏幕。我们可以注意到 Splunk 从此日志文件生成的字段。
选择领域
我们可以通过从所有字段列表中选择或取消选择字段来选择要显示的字段。单击所有字段将打开一个显示所有字段列表的窗口。其中一些字段带有复选标记,表明它们已被选中。我们可以使用复选框来选择要显示的字段。
除了字段名称之外,它还显示字段具有的不同值的数量、其数据类型以及该字段出现在事件中的百分比。
现场总结
单击字段名称即可获得每个选定字段的非常详细的统计数据。它显示了该字段的所有不同值、它们的计数和百分比。
在搜索中使用字段
字段名称也可以与搜索的特定值一起插入到搜索框中。在下面的示例中,我们的目标是查找名为mailsecure_log 的主机的 10 月 15 日这一日期的所有记录。我们得到这个特定日期的结果。
