Splunk - Subbúsqueda

La subbúsqueda es un caso especial de la búsqueda regular cuando el resultado de una consulta secundaria o interna es la entrada a la consulta primaria o externa. Es similar al concepto de subconsulta en el caso del lenguaje SQL. En Splunk, la consulta principal debe devolver un resultado que se puede ingresar en la consulta externa o secundaria.

Cuando una búsqueda contiene una subsearch, la subsearch se ejecuta primero. Las búsquedas secundarias deben incluirse entre corchetes en la búsqueda principal.

Ejemplo

Consideramos el caso de encontrar un archivo del registro web que tenga un tamaño máximo de bytes. Pero eso puede variar todos los días. Luego, queremos encontrar solo aquellos eventos donde el tamaño del archivo es igual al tamaño máximo y es un domingo.

Crear la subbúsqueda

Primero creamos la subsearch para encontrar el tamaño máximo de archivo. Usamos la funciónStat maxcon el campo denominado bytes como argumento. Esto identifica el tamaño máximo del archivo para el período de tiempo para el que se ejecuta la consulta de búsqueda.

La siguiente imagen muestra la búsqueda y el resultado de esta subsearch:

Adición de la búsqueda secundaria

A continuación, agregamos la consulta de subsearch a la consulta principal o externa colocando la subsearch entre corchetes. Además, la cláusula de búsqueda se agrega a la consulta de subsearch.

Como vemos, el resultado contiene solo los eventos donde el tamaño del archivo es igual al tamaño máximo de archivo encontrado al considerar todos los eventos, y el día del evento es un domingo.