Splunk - Subearching

A subprocura é um caso especial da pesquisa regular quando o resultado de uma consulta secundária ou interna é a entrada para a consulta primária ou externa. É semelhante ao conceito de subconsulta no caso da linguagem SQL. No Splunk, a consulta primária deve retornar um resultado que pode ser inserido na consulta externa ou secundária.

Quando uma pesquisa contém uma subprocura, a subprocura é executada primeiro. As subprocuras devem ser colocadas entre colchetes na pesquisa primária.

Exemplo

Consideramos o caso de encontrar um arquivo de log da web com tamanho máximo de bytes. Mas isso pode variar a cada dia. Então, queremos encontrar apenas aqueles eventos em que o tamanho do arquivo é igual ao tamanho máximo e é um domingo.

Crie a Subsearch

Primeiro criamos a subprocura para encontrar o tamanho máximo do arquivo. Usamos a funçãoStat maxcom o campo denominado bytes como o argumento. Isso identifica o tamanho máximo do arquivo para o período de tempo para o qual a consulta de pesquisa é executada.

A imagem abaixo mostra a pesquisa e o resultado desta sub-pesquisa -

Adicionando a Subsearch

Em seguida, adicionamos a consulta de subprocura à consulta primária ou externa, colocando a subprocura entre colchetes. Além disso, a cláusula de pesquisa é adicionada à consulta de subprocura.

Como podemos ver, o resultado contém apenas os eventos onde o tamanho do arquivo é igual ao tamanho máximo do arquivo encontrado considerando todos os eventos, e o dia do evento é um domingo.