Splunk - Pesquisa de campo

Quando o Splunk lê os dados da máquina carregados, ele interpreta os dados e os divide em muitos campos que representam um único fato lógico sobre todo o registro de dados.

Por exemplo, um único registro de informações pode conter o nome do servidor, carimbo de data / hora do evento, tipo de evento sendo registrado, seja tentativa de login ou resposta http, etc. Mesmo no caso de dados não estruturados, o Splunk tenta dividir os campos em valores-chave pares ou separe-os com base nos tipos de dados que possuem, numéricos e string, etc.

Continuando com os dados carregados no capítulo anterior, podemos ver os campos do secure.logclicando no link mostrar campos que abrirá a seguinte tela. Podemos notar os campos que o Splunk gerou a partir deste arquivo de log.

Escolhendo os Campos

Podemos escolher quais campos serão exibidos, selecionando ou desmarcando os campos da lista de todos os campos. Clicando emall fieldsabre uma janela que mostra a lista de todos os campos. Alguns desses campos têm marcas de seleção, mostrando que já estão selecionados. Podemos usar as caixas de seleção para escolher nossos campos para exibição.

Além do nome do campo, mostra a quantidade de valores distintos que os campos possuem, seu tipo de dados e em que porcentagem de eventos este campo está presente.

Resumo do Campo

Estatísticas muito detalhadas para cada campo selecionado se tornam disponíveis clicando no nome do campo. Ele mostra todos os valores distintos para o campo, sua contagem e suas porcentagens.

Usando campos na pesquisa

Os nomes dos campos também podem ser inseridos na caixa de pesquisa junto com os valores específicos da pesquisa. No exemplo a seguir, pretendemos encontrar todos os registros para a data, 15 de outubro para o host nomeadomailsecure_log. Recebemos o resultado para esta data específica.