Splunk基础搜索

在本节中，我们将学习 Splunk 中的 基础搜索。 我们还将学习 匹配字符串、匹配搜索、如何从索引中检索事件、理解搜索结果、事件的时间线 以及 模式可视化 和 统计数据。

我们在本节中构建搜索，以从索引中检索事件。

本教程的数据取自 titaniac.csv 文件，我们在数据摄取时已上传。 该文件包含泰坦尼克号上的人员信息。

匹配搜索

搜索管理器还会返回匹配的搜索，这些搜索基于您最近的搜索。 如果您想运行与昨天或一周前的搜索相同的搜索，匹配搜索列表很有用。 当您注销时，您的搜索历史记录将被保留。

在您开始学习搜索语言后，搜索助手将变得更有用。 当您键入搜索命令时，搜索向导会显示命令信息。

从索引中检索事件

让我们尝试找出我们的 titanic.csv 文件中有多少个事件。

您可以在搜索字段中键入关键字来检索列出错误或失败的事件。 如果您使用多个关键字，则需要定义布尔运算符，如 AND、OR 和 NOT。

当您键入多个关键字时，将隐式使用 AND 逻辑运算符。

例如，键入 class 与键入 titanic AND class 相同。

我正在设置时区以进行有效搜索。

1. 开始新的搜索。
2. 将时间范围更改为 所有时间， 默认情况下为 24小时。
3. 要在事件中搜索诸如 error、fail、failure、failed 或 severe 之类的术语。
4. 单击时间范围选择器右侧的搜索图标以运行搜索。

为了更好地理解，请查看下面的图像。

请记住，布尔运算符必须大写。 符号星号 (*) 用作通配符，以匹配 loss、failure 等。

当评估布尔表达式时，括号内的单词将获得优先级。 NOT 子句应在 OR 子句之前确定。 最小的优先级将赋予 AND 子句。

理解搜索结果

• 搜索栏下方有四个选项卡：活动、模式、统计数据和可视化。
• 您使用的搜索命令类型决定了搜索结果中显示的选项卡。 您将在本教程的早期部分处理事件选项卡。 您稍后将在本教程中听到其他选项卡的内容。
• 事件选项卡显示事件的时间线、选项列表、侧边栏字段。
• 默认情况下，事件显示为列表，从最近的事件开始排序。 在每种情况下，相应的搜索词都将被突出显示。
• 选项列表显示有关该案例的三列中的详细信息。

更改事件查看器的显示方式。

1. 选择 列表 选项并单击 表格。 显示方式的更改是为了显示事件信息列、时间戳以及每个 选定字段 的列。
2. 将显示方式改回 列表。

事件的时间线

事件时间线是发生于每个时间点的事件数量的直观表示。 存在条形图模式的集群，因为时间线随搜索结果而变化。 每个条形的高度显示了出现的次数。 时间线峰值或低谷可以表示活动峰值或服务器停机时间。 时间线显示事件活动的事件趋势或峰值和低谷。 时间表的选择在时间线之上。 您可以放大、缩小和调整时间线图的大小。

字段侧边栏

• 将数据添加到 Splunk 平台时，它会索引数据。 从数据中提取信息作为索引过程的一部分，并将其构造为名称和值对，称为字段。 运行搜索时，在您的搜索结果旁边，字段将在侧边栏字段中标记和描述。 字段分为两组。
• 选定字段 在事件结果中可见。 默认情况下，主机、来源和来源类型出现。 您可以选择在结果中的事件中显示的其他字段。
• 有趣的字段 是从事件中提取的字段。

您可以隐藏字段侧边栏以最大化结果区域。

模式、可视化和统计数据

模式选项卡表示搜索返回的事件集合中最常见的模式的列表。 这些模式中的每一个都代表具有通用结构的事件。

当您运行查询时，统计信息选项卡会填充转换命令，例如 stats、top、map 等。

可视化选项卡也会填充具有转换命令的搜索。 可视化选项卡结果区域包含一个图表和用于创建该图表的统计表。

您将在本教程后面学习如何转换命令以及使用统计数据和可视化选项卡。

如何在 Splunk 中搜索

Splunk 具有新的和快速的搜索功能。 它可以帮助我们搜索摄入到 Splunk 中的整个数据集。 我们只需单击 Splunk 平台左侧的 搜索和报告 选项即可使用此功能。 单击它。

单击此选项后，屏幕上将出现一个新页面，在窗口顶部写着 新搜索。

在这里，我们在顶部提供了一个搜索栏，我们可以在其中搜索我们希望从上传的数据库中搜索的任何内容。

我们将像在 数据摄取 教程中上传数据时一样，写出索引和名称，如下图所示。 我们可以从键盘上按 Enter 按钮，也可以单击搜索栏右端存在的搜索图标。

注意

• 确保将搜索的时区设置为 所有时间，正如我们在本教程开始时在标题 为有效搜索设置时区 下面讨论的那样。
• 设置搜索时间非常重要，因为 Splunk 的默认功能是为进出 Splunk 的每个数据提供时间戳。
• 很多时候，我们会在错误的时区中搜索数据，因此我们无法从 Splunk 平台获得有效的结果。 在这个时区，我们有几个选项，借助这些选项，我们可以有效地设置我们的时区。 我们可以将其设置为实时、相对时间或所有时间。
• 我们还可以在我们的时区选项中设置日期，我们希望我们的数据在该日期之间得到有效搜索。

设置正确的时区后，当我们单击搜索按钮时，我们将获得结果。 结果将包含与名为泰坦尼克的索引相关的所有数据，正如我们可以在屏幕上看到的那样。

组合搜索词

我们还可以通过在搜索栏中组合不同的搜索参数来在搜索栏中进行搜索。 但是我们必须确保搜索词的格式必须与文件或字段中的格式相同，因为 Splunk 搜索区分大小写。

有时，写入字符串可能不会返回值，因此我们必须注意，为了组合不同的搜索参数，我们必须在双引号下写入搜索字符串。

使用通配符

我们也可以使用通配符在我们的数据集中进行有效搜索。 我们还可以将我们的通配符与其他逻辑运算符（如 AND、OR）组合起来。 在下面的搜索中，我们正在搜索数据集中所有以字母 P 开头的家乡。 按下 Enter 按钮后，我们在屏幕上获得以下所有事件的结果。 这是所有家乡名称以字母 P 开头的人员的列表。

完善搜索结果

我们还可以完善搜索结果，以从数据中获得最佳输出。 我们只需向我们的搜索空间添加一个字符串，即可进一步改进它。 我们只需要在搜索栏中写入字符串并单击搜索按钮即可进行搜索。

在下面的示例中，我们只想在我们的数据集中搜索单词 Line，所以我们只在我们的搜索栏中写入了 Line。 然后返回的事件包含我们搜索的字符串。 作为参考，您可以查看下面的图像。

哇！ 您刚刚学会了如何在 Splunk 平台上搜索。 现在继续点击平台并进行探索。