Splunk - Pesquisa Básica

O Splunk tem uma funcionalidade de pesquisa robusta que permite pesquisar todo o conjunto de dados que é ingerido. Este recurso é acessado por meio do aplicativo denominadoSearch & Reporting que pode ser visto na barra lateral esquerda após o login na interface da web.

Ao clicar no search & Reporting aplicativo, somos apresentados a uma caixa de pesquisa, onde podemos iniciar nossa pesquisa nos dados de log que carregamos no capítulo anterior.

Digitamos o nome do host no formato mostrado abaixo e clicamos no ícone de pesquisa presente no canto direito. Isso nos dá o resultado destacando o termo de pesquisa.

Combinando termos de pesquisa

Podemos combinar os termos usados ​​para pesquisa, escrevendo-os um após o outro, mas colocando as strings de pesquisa do usuário entre aspas duplas.

Usando Wild Card

Podemos usar curingas em nossa opção de pesquisa combinada com o AND/ORoperadores. Na busca abaixo, obtemos o resultado onde o arquivo de log contém os termos contendo falha, falha, falha, etc., juntamente com o termo senha na mesma linha.

Refinando os resultados da pesquisa

Podemos refinar ainda mais o resultado da pesquisa, selecionando uma string e adicionando-a à pesquisa. No exemplo abaixo, clicamos sobre a string3351 e selecione a opção Add to Search.

Depois de 3351é adicionado ao termo de pesquisa, obtemos o resultado abaixo que mostra apenas as linhas do log que contém 3351 nelas. Marque também como a linha do tempo do resultado da pesquisa mudou à medida que refinamos a pesquisa.