Splunk - Búsquedas
En el resultado de una consulta de búsqueda, a veces obtenemos valores que pueden no transmitir claramente el significado del campo. Por ejemplo, podemos obtener un campo que enumera el valor de la identificación del producto como resultado numérico. Estos números no nos darán idea de qué tipo de producto es. Pero si enumeramos el nombre del producto junto con la identificación del producto, obtenemos un buen informe en el que entendemos el significado del resultado de la búsqueda.
Tal vinculación de valores de un campo a un campo con el mismo nombre en otro conjunto de datos utilizando valores iguales de ambos conjuntos de datos se denomina proceso de búsqueda. La ventaja es que recuperamos los valores relacionados de dos conjuntos de datos diferentes.
Pasos para crear y utilizar archivos de búsqueda
Para crear con éxito un campo de búsqueda en un conjunto de datos, debemos seguir los pasos a continuación:
Crear archivo de búsqueda
Consideramos el conjunto de datos con host como web_application y miramos el campo productid. Este campo es solo un número, pero queremos que los nombres de los productos se reflejen en el conjunto de resultados de nuestra consulta. Creamos un archivo de búsqueda con los siguientes detalles. Aquí, hemos mantenido el nombre del primer campo comoproductid que es el mismo que el campo que vamos a usar del conjunto de datos.
productId,productdescription
WC-SH-G04,Tablets
DB-SG-G01,PCs
DC-SG-G02,MobilePhones
SC-MG-G10,Wearables
WSC-MG-G10,Usb Light
GT-SC-G01,Battery
SF-BVS-G01,Hard DriveAgregar el archivo de búsqueda
A continuación, agregamos el archivo de búsqueda al entorno de Splunk utilizando las pantallas de Configuración como se muestra a continuación:
Después de seleccionar las búsquedas, se nos presenta una pantalla para crear y configurar la búsqueda. Seleccionamos archivos de tabla de búsqueda como se muestra a continuación.
Navegamos para seleccionar el archivo productidvals.csvcomo nuestro archivo de búsqueda para ser cargado y seleccione buscar como nuestra aplicación de destino. También mantenemos el mismo nombre de archivo de destino.
Al hacer clic en el botón Guardar, el archivo se guarda en el repositorio de Splunk como un archivo de búsqueda.
Crear definiciones de búsqueda
Para que una consulta de búsqueda pueda buscar valores del archivo de búsqueda que acabamos de cargar arriba, necesitamos crear una definición de búsqueda. Hacemos esto yendo de nuevo aSettings → Lookups → Lookup Definition → Add New .
A continuación, verificamos la disponibilidad de la definición de búsqueda que agregamos yendo a Settings → Lookups → Lookup Definition .
Seleccionar campo de búsqueda
A continuación, debemos seleccionar el campo de búsqueda para nuestra consulta de búsqueda. Esto está hecho, voy a New search → All Fields . Luego marque la casilla paraproductid que agregará automáticamente el productdescription campo del archivo de búsqueda también.
Usando el campo de búsqueda
Ahora usamos el campo de búsqueda en la consulta de búsqueda como se muestra a continuación. La visualización muestra el resultado con el campo productdescription en lugar de productid.
