该作品是PDF文件格式请下载 福昕PDF阅读器
欢迎使用搜索手册
现在,您已得到了系统中的所有数据...那么您想用它来做什么?首先使用 Splunk 的强大搜索功能来查找任何内容,
而不只是少数预先确定的字段。结合使用时间和术语搜索。在 IT 基础结构的每个层之间查找错误,并追踪在系统发
生故障之前的极短时间内的配置更改。
本手册介绍搜索语言以及如何在 Splunk 中编写搜索。
在您开始阅读相关搜索内容之前,请确保以下几点:
您有权访问本地计算机或远程服务器中的数据。阅读《数据导入手册》中有关如何将数据导入 Splunk 的更多
信息。
了解 Splunk 中索引的运作方式。阅读《管理索引器手册》中有关 Splunk 如何处理数据的详细信息。
了解字段和知识对象,如来源类型和事件类型。阅读《知识管理器手册》中有关 Splunk 知识对象的更多信
息。
熟悉搜索应用程序以及搜索和报表仪表板。如果您初次使用 Splunk,“Splunk 教程”是最佳的起点,它会引导您
完成添加数据、搜索数据以及构建简单的报表和仪表板
关于搜索管道
您可能听说过用来描述 Splunk 搜索的“搜索管道”这个术语。“搜索管道”是指 Splunk 搜索的结构,在此结构中,多个连续命令通过管道符 "|" 链接在一起。管道符指示 Splunk 使用一个命令(位于管道符左侧)的输出或结果作为下一
个命令(位于管道符右侧)的输入。这样,您就能够沿着管道限制或增加每一步的数据,直至获得所需的结果。
Splunk 搜索从管道开头的搜索术语开始执行。这些搜索术语包括关键字、短语、布尔表达式、键/值对等,用于指定
要从索引中检索的事件。
之后可以使用管道符将检索的事件以输入形式传递搜索命令。搜索命令会指示 Splunk 在从索引中检索到事件之后如
何处理它们。例如,您可能使用命令筛选不需要的信息、提取更多的信息、评估新字段、计算统计信息、重新排序结
果或创建图表。有些命令拥有与其关联的函数和参数。您可以利用这些函数及其参数来指定命令如何操作结果以及要
操作哪些字段;例如,如何创建图表、要计算何种类型的统计信息以及要评估哪些字段。有些命令还允许您使用子句
来指定对搜索结果的分组方式。
搜索语言组件
Splunk 搜索语言包括所有搜索命令及其函数、参数和子句。搜索命令会指示 Splunk 如何处理从索引中检索到的事件。例如,您需要使用某一命令筛选不需要的信息、提取更多的信息、评估新字段、计算统计信息、重新排序结果或
创建图表。
有些搜索命令拥有与其关联的函数和参数。您可以利用这些函数及其参数来指定命令如何操作结果和/或命令操作哪
些字段。例如,您使用函数来设置图表中的数据格式、描述要计算的统计信息类型以及指定要评估的字段。有些命令
还允许您使用子句来指定对搜索结果的分组方式。