- Splunk 教程
- Splunk - 主页
- Splunk - 概述
- Splunk - 环境
- Splunk - 接口
- Splunk - 数据摄取
- Splunk - 源类型
- Splunk - 基本搜索
- Splunk - 现场搜索
- Splunk - 时间范围搜索
- Splunk - 共享和导出
- Splunk - 搜索语言
- Splunk - 搜索优化
- Splunk - 转换命令
- Splunk - 报告
- Splunk - 仪表板
- Splunk - 数据透视表和数据集
- Splunk - 查找
- Splunk - 时间表和警报
- Splunk - 知识管理
- Splunk - 子搜索
- Splunk - 搜索宏
- Splunk - 事件类型
- Splunk - 基本图表
- Splunk - 叠加图表
- Splunk - 迷你图
- Splunk - 管理索引
- Splunk - 计算字段
- Splunk - 标签
- Splunk - 应用程序
- Splunk - 删除数据
- Splunk - 自定义图表
- Splunk - 监控文件
- Splunk - 排序命令
- Splunk - 顶级命令
- Splunk - 统计命令
- Splunk 有用资源
- Splunk - 快速指南
- Splunk - 有用的资源
- Splunk - 讨论
Splunk - 基本搜索
Splunk 具有强大的搜索功能,使您能够搜索所摄取的整个数据集。此功能可通过名为“搜索和报告”的应用程序访问,登录 Web 界面后可以在左侧栏中看到该应用程序。
单击搜索和报告应用程序后,我们会看到一个搜索框,我们可以在其中开始搜索上一章中上传的日志数据。
我们按照如下所示的格式输入主机名,然后单击最右上角的搜索图标。这为我们提供了突出显示搜索词的结果。
组合搜索词
我们可以将用于搜索的术语组合起来,将它们一个接一个地写入,但将用户搜索字符串放在双引号内。
使用通配符
我们可以在搜索选项中使用通配符以及AND/OR运算符。在下面的搜索中,我们得到的结果是日志文件中包含包含“fail”、“failed”、“failure”等术语,以及同一行中的术语“password”。
细化搜索结果
我们可以通过选择一个字符串并将其添加到搜索中来进一步细化搜索结果。在下面的示例中,我们单击字符串3351并选择选项Add to Search。
将3351添加到搜索词后,我们得到以下结果,其中仅显示日志中包含 3351 的那些行。还要标记当我们细化搜索时搜索结果的时间线如何变化。
