Splunk – 查找
Splunk – 查找
在搜索查询的结果中,我们有时会得到可能无法清楚表达字段含义的值。例如,我们可能会得到一个字段,该字段将产品 id 的值列为数字结果。这些数字不会让我们知道它是什么类型的产品。但是如果我们列出产品名称和产品 id,这会给我们一个很好的报告,我们可以理解搜索结果的含义。
这种使用来自两个数据集中的相等值将一个字段的值链接到另一个数据集中同名字段的过程称为查找过程。优点是,我们从两个不同的数据集中检索相关值。
创建和使用查找文件的步骤
为了在数据集中成功创建查找字段,我们需要按照以下步骤操作 –
创建查找文件
我们考虑host为web_application的数据集,并查看productid字段。该字段只是一个数字,但我们希望产品名称反映在我们的查询结果集中。我们创建一个包含以下详细信息的查找文件。在这里,我们将第一个字段的名称保留为productid,它与我们将要从数据集中使用的字段相同。
productId,productdescription WC-SH-G04,Tablets DB-SG-G01,PCs DC-SG-G02,MobilePhones SC-MG-G10,Wearables WSC-MG-G10,Usb Light GT-SC-G01,Battery SF-BVS-G01,Hard Drive
添加查找文件
接下来,我们使用“设置”屏幕将查找文件添加到 Splunk 环境,如下所示 –
选择查找后,我们会看到一个用于创建和配置查找的屏幕。我们选择查找表文件,如下所示。
我们浏览以选择文件productidvals.csv作为我们要上传的查找文件,并选择搜索作为我们的目标应用程序。我们还保留相同的目标文件名。
单击保存按钮后,文件将作为查找文件保存到 Splunk 存储库。
创建查找定义
为了使搜索查询能够从我们刚刚上传的 Lookup 文件中查找值,我们需要创建一个查找定义。我们通过再次转到Settings → Lookups → Lookup Definition → Add New来做到这一点。
接下来,我们通过转到Settings → Lookups → Lookup Definition检查我们添加的查找定义的可用性。
选择查找字段
接下来,我们需要为我们的搜索查询选择查找字段。这是完成我去新搜索→所有字段。然后选中productid框,它也会自动从查找文件中添加productdescription字段。
使用查找字段
现在我们在搜索查询中使用 Lookup 字段,如下所示。可视化显示带有 productdescription 字段而不是 productid 的结果。