Splunk - Búsqueda básica

Splunk tiene una sólida función de búsqueda que le permite buscar en todo el conjunto de datos que se ingiere. Se accede a esta función a través de la aplicación denominadaSearch & Reporting que se puede ver en la barra lateral izquierda después de iniciar sesión en la interfaz web.

Al hacer clic en el search & Reporting app, se nos presenta un cuadro de búsqueda, donde podemos comenzar nuestra búsqueda en los datos de registro que cargamos en el capítulo anterior.

Escribimos el nombre de host en el formato que se muestra a continuación y hacemos clic en el icono de búsqueda presente en la esquina más a la derecha. Esto nos da el resultado resaltando el término de búsqueda.

Combinando términos de búsqueda

Podemos combinar los términos utilizados para la búsqueda escribiéndolos uno tras otro, pero poniendo las cadenas de búsqueda del usuario entre comillas dobles.

Usar comodín

Podemos usar comodines en nuestra opción de búsqueda combinados con el AND/ORoperadores. En la búsqueda a continuación, obtenemos el resultado donde el archivo de registro tiene los términos que contienen fallar, fallar, fallar, etc., junto con el término contraseña en la misma línea.

Refinando los resultados de la búsqueda

Podemos refinar aún más el resultado de la búsqueda seleccionando una cadena y agregándola a la búsqueda. En el siguiente ejemplo, hacemos clic sobre la cadena3351 y selecciona la opción Add to Search.

Después 3351se agrega al término de búsqueda, obtenemos el siguiente resultado que muestra solo aquellas líneas del registro que contienen 3351 en ellas. También marque cómo ha cambiado la línea de tiempo del resultado de la búsqueda a medida que la hemos refinado.