Splunk - Macros de búsqueda

Las macros de búsqueda son bloques reutilizables de Search Processing Language (SPL) que puede insertar en otras búsquedas. Se utilizan cuando desea utilizar la misma lógica de búsqueda en diferentes partes o valores en el conjunto de datos de forma dinámica. Pueden tomar argumentos dinámicamente y el resultado de la búsqueda se actualizará según los nuevos valores.

Creación de macros

Para crear la macro de búsqueda, vamos a la settings → Advanced Search → Search macros → Add new. Esto abre la pantalla de abajo donde comenzamos a crear la macro.

Escenario macro

Queremos mostrar varias estadísticas sobre el tamaño del archivo de la web_applicationsIniciar sesión. Las estadísticas son sobre el valor máximo, mínimo y medio del uso del campo de bytes en el registro. El resultado debe mostrar estas estadísticas para cada archivo listado en el registro.

Entonces, aquí el tipo de estadísticas es de naturaleza dinámica. El nombre de la función de estadísticas se pasará como argumento a la macro.

Definición de la macro

A continuación, definimos la macro estableciendo varias propiedades como se muestra en la siguiente pantalla. El nombre de la macro contiene (1), lo que indica que hay un argumento que se debe pasar a la macro cuando se utiliza en la cadena de búsqueda.fun es el argumento que se pasará a la macro durante la ejecución en la consulta de búsqueda.

Usando la macro

Para usar la macro, la convertimos en parte de la cadena de búsqueda. Al pasar diferentes valores para el argumento, vemos diferentes resultados como se esperaba.

Considere encontrar el tamaño promedio en bytes de los archivos. Pasamos avg como argumento y obtenemos el resultado como se muestra a continuación. La macro se ha mantenido bajo el signo `como parte de la consulta de búsqueda.

De manera similar, si queremos el tamaño máximo de archivo para cada uno de los archivos presentes en el registro, usamos maxcomo argumento. El resultado es el que se muestra a continuación.