Splunk - Búsqueda de campo

Cuando Splunk lee los datos cargados de la máquina, interpreta los datos y los divide en muchos campos que representan un solo hecho lógico sobre todo el registro de datos.

Por ejemplo, un solo registro de información puede contener el nombre del servidor, la marca de tiempo del evento, el tipo de evento que se registra, ya sea un intento de inicio de sesión o una respuesta http, etc. Incluso en el caso de datos no estructurados, Splunk intenta dividir los campos en valores clave pares o sepárelos en función de los tipos de datos que tengan, numéricos y de cadena, etc.

Continuando con los datos subidos en el capítulo anterior, podemos ver los campos del secure.logarchivo haciendo clic en el enlace mostrar campos que abrirá la siguiente pantalla. Podemos notar los campos que Splunk ha generado a partir de este archivo de registro.

Elegir los campos

Podemos elegir qué campos se mostrarán seleccionando o deseleccionando los campos de la lista de todos los campos. Haciendo clic enall fieldsabre una ventana que muestra la lista de todos los campos. Algunos de estos campos tienen marcas de verificación que muestran que ya están seleccionados. Podemos usar las casillas de verificación para elegir nuestros campos para mostrar.

Además del nombre del campo, muestra el número de valores distintos que tienen los campos, su tipo de datos y en qué porcentaje de eventos está presente este campo.

Campo Resumen

Las estadísticas muy detalladas para cada campo seleccionado están disponibles al hacer clic en el nombre del campo. Muestra todos los valores distintos para el campo, su recuento y sus porcentajes.

Usar campos en la búsqueda

Los nombres de los campos también se pueden insertar en el cuadro de búsqueda junto con los valores específicos para la búsqueda. En el siguiente ejemplo, nuestro objetivo es encontrar todos los registros de la fecha 15 de octubre para el host llamadomailsecure_log. Obtenemos el resultado para esta fecha específica.