Splunk入门教程

Splunk > 快速入门教程

目录

7.开始数据搜索.... 2

8.字段搜索.... 4

9.保存搜索结果.... 6

10.使用Splunk搜索语句.... 8

11.使用子搜索.... 11

12.使用字段查找对照（field lookup）.... 13

进入查找对照管理.... 13

上传对照表文件.... 14

查对表定义.... 14

设置自动对照查询.... 15

13.创建报表.... 18

14.创建仪表板.... 21

7.开始数据搜索

在上面的结果中，我们可以继续在搜索框输入额外的搜索条件（搜索时间范围保持“全部时间”）。例如我们希望查找一下10.2.1.44这个IP地址。我们可以在之前的条件后面用空格分隔一下输入IP地址。在键入搜索内容的时候，你会发现下面会有一些搜索内容的建议显示出来。这部分是Splunk的搜索助手，它可以提供匹配你搜索内容的后续的搜索建议，或者是一个搜索命令的简要帮助。

**搜索结果页面的时间轴也是我们可以用鼠标来点击互操作的，大家可以自己试着用鼠标单击或者双击或者选择时间轴的一个段落来看看不同的搜索结果显示效果。另外，时间范围选择也是可以自定义的，这部分内容比较简单，就不详细说明了。

搜索条件你也可以使用鼠标在结果内容区域进行点击的互操作，被点击的内容会被自动增加到搜索框中。

搜索结束后你可以看到，符合这种全文搜索的条件的匹配结果会被高亮显示出来。

Splunk的搜索输入框支持逻辑关系的组合，例如我们在上面搜索条件的基础上希望看到一些有purchase的字样，而且HTTP状态不是200的事件，我们可以使用下面的条件来匹配这些数据（后续会涉及到更加准确的搜索方法）。

sourcetype=access_combined_wcookie10.2.1.44 purchase NOT 200

Splunk还支持通过键盘按键和鼠标点击的组合方式来改变搜索条件。例如我们用鼠标放到结果中的503这个数字上，使用alt+点击（Windows中是用ctrl+点击），你会看到NOT 503这个条件被自动增加到搜索条件中，表示我们希望在搜索结果中排除数字不是503的搜索结果。

8.字段搜索

字段是名字/值的配对，所有的字段都有一个描述性的名字并且可以被搜索到，例如clientip是访问webserver的客户端IP地址， _time是事件的时间戳，host是服务器的主机名（或者IP地址），等等。通过字段搜索可以让我们更快、更准确的搜索到所要定位到的内容，而且你可以通过字段对各种搜索结果进行进一步的统计分析、报表展现，等等更多的分析操作。

在本练习中，Splunk可以自动识别apache日志中的各种字段名称。Splunk也允许你很方便的通过正则表达式的方式来定义你所需要抽取的字段内容，详细的字段定义，详细的解释和操作方法可以参考Splunk手册中的Knowledge Manager Manual中