Splunk - pesquisas
No resultado de uma consulta de pesquisa, às vezes obtemos valores que podem não transmitir claramente o significado do campo. Por exemplo, podemos obter um campo que lista o valor do id do produto como um resultado numérico. Esses números não nos dão nenhuma idéia de que tipo de produto é. Mas se listarmos o nome do produto junto com a id do produto, isso nos dá um bom relatório onde entendemos o significado do resultado da pesquisa.
Essa vinculação de valores de um campo a um campo com o mesmo nome em outro conjunto de dados usando valores iguais de ambos os conjuntos de dados é chamada de processo de pesquisa. A vantagem é que recuperamos os valores relacionados de dois conjuntos de dados diferentes.
Etapas para criar e usar arquivo de pesquisa
Para criar com sucesso um campo de pesquisa em um conjunto de dados, precisamos seguir as etapas abaixo -
Criar arquivo de pesquisa
Consideramos o conjunto de dados com host como web_application e examinamos o campo productid. Este campo é apenas um número, mas queremos que os nomes dos produtos sejam refletidos em nosso conjunto de resultados da consulta. Criamos um arquivo de pesquisa com os seguintes detalhes. Aqui, mantivemos o nome do primeiro campo comoproductid que é o mesmo que o campo que vamos usar do conjunto de dados.
productId,productdescription
WC-SH-G04,Tablets
DB-SG-G01,PCs
DC-SG-G02,MobilePhones
SC-MG-G10,Wearables
WSC-MG-G10,Usb Light
GT-SC-G01,Battery
SF-BVS-G01,Hard DriveAdicionar o arquivo de pesquisa
Em seguida, adicionamos o arquivo de pesquisa ao ambiente Splunk usando as telas de configurações conforme mostrado abaixo -
Depois de selecionar as pesquisas, é apresentada uma tela para criar e configurar pesquisas. Selecionamos os arquivos da tabela de pesquisa conforme mostrado abaixo.
Navegamos para selecionar o arquivo productidvals.csvcomo nosso arquivo de pesquisa a ser carregado e selecione a pesquisa como nosso aplicativo de destino. Também mantemos o mesmo nome de arquivo de destino.
Ao clicar no botão Salvar, o arquivo é salvo no repositório do Splunk como um arquivo de pesquisa.
Criar definições de pesquisa
Para que uma consulta de pesquisa seja capaz de pesquisar valores do arquivo Lookup que acabamos de carregar acima, precisamos criar uma definição de pesquisa. Fazemos isso indo novamente paraSettings → Lookups → Lookup Definition → Add New .
Em seguida, verificamos a disponibilidade da definição de pesquisa que adicionamos acessando Settings → Lookups → Lookup Definition .
Selecionando Campo de Pesquisa
Em seguida, precisamos selecionar o campo de pesquisa para nossa consulta de pesquisa. Isso é feito quando vou New search → All Fields . Em seguida, marque a caixa paraproductid que irá adicionar automaticamente o productdescription campo do arquivo de pesquisa também.
Usando o campo de pesquisa
Agora usamos o campo Lookup na consulta de pesquisa, conforme mostrado abaixo. A visualização mostra o resultado com o campo productdescription em vez de productid.
