Splunk - Ricerca di base
Splunk ha una solida funzionalità di ricerca che ti consente di cercare l'intero set di dati che viene importato. Questa funzione è accessibile tramite l'app denominataSearch & Reporting che può essere visualizzato nella barra laterale sinistra dopo aver effettuato l'accesso all'interfaccia web.
Facendo clic su search & Reporting app, ci viene presentata una casella di ricerca, dove possiamo iniziare la nostra ricerca sui dati di log che abbiamo caricato nel capitolo precedente.
Digitiamo il nome host nel formato come mostrato di seguito e facciamo clic sull'icona di ricerca presente nell'angolo più a destra. Questo ci dà il risultato evidenziando il termine di ricerca.
Combinazione di termini di ricerca
Possiamo combinare i termini usati per la ricerca scrivendoli uno dopo l'altro ma mettendo le stringhe di ricerca dell'utente tra virgolette doppie.
Utilizzando Wild Card
Possiamo utilizzare caratteri jolly nella nostra opzione di ricerca combinata con il AND/ORoperatori. Nella ricerca seguente, otteniamo il risultato in cui il file di registro contiene i termini contenenti errore, errore, errore, ecc., Insieme al termine password nella stessa riga.
Affinamento dei risultati della ricerca
Possiamo ulteriormente perfezionare il risultato della ricerca selezionando una stringa e aggiungendola alla ricerca. Nell'esempio seguente, facciamo clic sulla stringa3351 e seleziona l'opzione Add to Search.
Dopo 3351viene aggiunto al termine di ricerca, otteniamo il risultato seguente che mostra solo quelle righe del registro che contengono 3351 in esse. Contrassegna anche come è cambiata la cronologia del risultato della ricerca man mano che abbiamo perfezionato la ricerca.