- Splunk 教程
- Splunk - 主页
- Splunk - 概述
- Splunk - 环境
- Splunk - 接口
- Splunk - 数据摄取
- Splunk - 源类型
- Splunk - 基本搜索
- Splunk - 现场搜索
- Splunk - 时间范围搜索
- Splunk - 共享和导出
- Splunk - 搜索语言
- Splunk - 搜索优化
- Splunk - 转换命令
- Splunk - 报告
- Splunk - 仪表板
- Splunk - 数据透视表和数据集
- Splunk - 查找
- Splunk - 时间表和警报
- Splunk - 知识管理
- Splunk - 子搜索
- Splunk - 搜索宏
- Splunk - 事件类型
- Splunk - 基本图表
- Splunk - 叠加图表
- Splunk - 迷你图
- Splunk - 管理索引
- Splunk - 计算字段
- Splunk - 标签
- Splunk - 应用程序
- Splunk - 删除数据
- Splunk - 自定义图表
- Splunk - 监控文件
- Splunk - 排序命令
- Splunk - 顶级命令
- Splunk - 统计命令
- Splunk 有用资源
- Splunk - 快速指南
- Splunk - 有用的资源
- Splunk - 讨论
Splunk - 子搜索
当辅助或内部查询的结果是主或外部查询的输入时,子搜索是常规搜索的特殊情况。它类似于 SQL 语言中子查询的概念。在 Splunk 中,主查询应返回一个结果,该结果可以输入到外部查询或辅助查询。
当搜索包含子搜索时,首先运行子搜索。在主搜索中,子搜索必须括在方括号内。
例子
我们考虑从网络日志中查找具有最大字节大小的文件的情况。但这可能每天都会有所不同。然后我们只想查找文件大小等于最大大小并且是星期日的事件。
创建子搜索
我们首先创建子搜索来查找最大文件大小。我们使用Stat max函数,并将名为 bytes 的字段作为参数。这标识了运行搜索查询的时间范围内文件的最大大小。
下图显示了搜索和该子搜索的结果 -
添加子搜索
接下来,我们通过将子搜索放在方括号内,将子搜索查询添加到主查询或外部查询中。搜索子句也会添加到子搜索查询中。
正如我们所看到的,结果仅包含文件大小等于考虑所有事件找到的最大文件大小的事件,并且事件日是星期日。