Splunk字段搜索

在本节中，我们将学习如何在Splunk中进行字段搜索。此外，我们还将学习提取字段、索引时间、搜索时间以及如何使用字段进行搜索。

字段以多种方式出现在系统数据中。有时，一个区域是一个值，该值在线上具有固定的、分隔的位置，或一对名称和值，其中每个字段名称都有一个含义。一个字段可以是多值的；也就是说，一个字段在一个案例中可以有多个值。

字段的一些示例包括：访问您网站的IP地址的clientips、事件时间戳的time以及站点域名的主机host。

电子邮件地址字段是多值字段最常见的示例之一。虽然“发件人”字段只包含一个电子邮件地址，“收件人”和“抄送”字段可能有一个或多个对应的电子邮件地址。

字段是可搜索名称和值的配对，用于区分一个事件与另一个事件。并非每个案例都具有相同的字段和值。使用字段编写更自定义的搜索，以获取您想要的唯一事件。

提取字段

在索引时间和搜索时间，Splunk程序从事件数据中提取字段。

索引时间

从Splunk程序获取新数据到将数据写入索引的时间段。在此索引期间分析数据段和事件。提取默认字段和时间戳，以及添加转换也在此刻完成。

搜索时间

时间跨度从搜索开始到搜索结束。在搜索阶段发生几种类型的事件处理，例如搜索阶段-字段提取、字段别名、源类型重命名、事件类型匹配等。

对于每个事件，在索引数据时提取默认字段和其他索引字段。

使用字段搜索

1. 如果要查找字段，请使用语法
   字段名 = 字段值 语法。
2. 字段名区分大小写，但字段值不区分大小写。
3. 通配符可以包含在字段值中。
4. 如果字段值中包含空格，则需要使用引号。

让我们进行一些挖掘。

• 单击应用栏中的“搜索”以启动新搜索。请注意，默认时间跨度设置为过去24小时。
• 要搜索 sourcetype 字段中以 access 开头的任何值，请运行以下搜索。
• 滚动浏览搜索结果到事件列表。如果您熟悉 Apache 日志的访问组合格式，您可以识别每个案例中的一些细节，例如访问该网站的用户的 IP 地址。
• “字段”选项卡位于“事件”列的左侧。当检索到适合您搜索的事件时，“字段”侧边栏会更新“选定字段”和“有趣字段”的列表。这些是 Splunk 应用程序从数据中派生的字段。

当我们搜索时，“选定字段”列表包含默认字段host、source和sourcetype。这些默认字段出现在每个事件中。

有趣字段- 是至少20%的事件中出现的字段。

指定其他选定字段

您可以指定其他字段以显示在“选定字段”列表中。当您将字段添加到“选定字段”列表时，字段名和字段值将包含在搜索结果中。

演示

现在让我们在 Splunk 平台上进行一些字段操作。

当数据上传到 Splunk 平台时，Splunk 会自动监控它，然后将其划分为不同的字段。每个字段都包含来自数据集的一些逻辑事实。

例如，该字段可能包含有关事件的时间戳、服务器名称、http 响应、登录尝试等信息。对于非结构化数据类型，Splunk 平台根据数据类型将字段区分为数值或字符串值。

Splunk 将 alpha (α) 分配给包含字符串值的字段，并将 hash (#) 分配给包含数值的区域。

我们将继续使用之前上传的数据，即 titanic 数据集。通过像我们第一次那样搜索字段，我们可以注意到，当我们上传数据时，Splunk 会自动将其划分为不同的字段。有关参考，您可以查看下面的图像。

选择字段

我们可以选择要显示在数据集中的字段。我们需要单击位于FIELDS部分的右上角的所有字段。您可以在上图中看到该选项。单击该选项；然后，将出现一个窗口，显示您要在上传的数据中看到的所有字段。您可以勾选要显示的字段，并取消勾选不想显示的字段。作为参考，您可以查看下面的图像。

除了字段之外，我们还可以看到它还显示了相应字段的值，这意味着该字段包含多少种类型的值，类型 - 说明该字段的数据类型，以及该字段出现在相应事件中的百分比。

字段摘要

只需单击相应字段即可显示相应字段的详细统计信息。

它显示了该字段包含的所有值，每个值的计数以及该值在数据集中的百分比。当我们单击Age字段时，它会显示它包含的所有值，我们可以在下面的图像中看到它。

使用字段进行搜索

我们还可以将字段名称插入搜索框中以搜索任何特定字段。我们可以通过在搜索框中写入字段名称或者只需单击该字段并将其添加到搜索框中来添加它。

我们也可以在字段中使用通配符，或者我们可以搜索特定的值。

在下面的示例中，我们在Age字段中使用了通配符来搜索数据集中所有年龄的值。作为参考，请看下面的图片。

现在我们对搜索以及字段搜索有了基本的了解。

开始行动并探索更多。