Splunk - Ricerche

Nel risultato di una query di ricerca, a volte otteniamo valori che potrebbero non trasmettere chiaramente il significato del campo. Ad esempio, potremmo ottenere un campo che elenca il valore dell'ID prodotto come risultato numerico. Questi numeri non ci daranno alcuna idea di che tipo di prodotto sia. Ma se elenchiamo il nome del prodotto insieme all'ID del prodotto, questo ci fornisce un buon rapporto in cui comprendiamo il significato del risultato della ricerca.

Tale collegamento di valori di un campo a un campo con lo stesso nome in un altro set di dati utilizzando valori uguali da entrambi i set di dati è chiamato processo di ricerca. Il vantaggio è che recuperiamo i valori correlati da due diversi set di dati.

Passaggi per creare e utilizzare il file di ricerca

Per creare correttamente un campo di ricerca in un set di dati, dobbiamo seguire i passaggi seguenti:

Crea file di ricerca

Consideriamo il set di dati con host come web_application e guardiamo il campo productid. Questo campo è solo un numero, ma vogliamo che i nomi dei prodotti si riflettano nel nostro set di risultati della query. Creiamo un file di ricerca con i seguenti dettagli. Qui abbiamo mantenuto il nome del primo campo comeproductid che è lo stesso del campo che useremo dal set di dati.

productId,productdescription
WC-SH-G04,Tablets
DB-SG-G01,PCs
DC-SG-G02,MobilePhones
SC-MG-G10,Wearables 
WSC-MG-G10,Usb Light
GT-SC-G01,Battery
SF-BVS-G01,Hard Drive

Aggiungi il file di ricerca

Successivamente, aggiungiamo il file di ricerca all'ambiente Splunk utilizzando le schermate Impostazioni come mostrato di seguito -

Dopo aver selezionato le ricerche, ci viene presentata una schermata per creare e configurare la ricerca. Selezioniamo i file della tabella di ricerca come mostrato di seguito.

Cerchiamo per selezionare il file productidvals.csvcome file di ricerca da caricare e seleziona Cerca come app di destinazione. Manteniamo anche lo stesso nome del file di destinazione.

Facendo clic sul pulsante Salva, il file viene salvato nel repository Splunk come file di ricerca.

Crea definizioni di ricerca

Affinché una query di ricerca sia in grado di cercare i valori dal file di ricerca che abbiamo appena caricato sopra, dobbiamo creare una definizione di ricerca. Lo facciamo andando di nuovo aSettings → Lookups → Lookup Definition → Add New .

Successivamente, controlliamo la disponibilità della definizione di ricerca che abbiamo aggiunto andando a Settings → Lookups → Lookup Definition .

Selezione del campo di ricerca

Successivamente, dobbiamo selezionare il campo di ricerca per la nostra query di ricerca. Questo è fatto per me New search → All Fields . Quindi seleziona la casellaproductid che aggiungerà automaticamente il file productdescription anche il campo dal file di ricerca.

Utilizzo del campo di ricerca

Ora usiamo il campo di ricerca nella query di ricerca come mostrato di seguito. La visualizzazione mostra il risultato con il campo productdescription invece di productid.