Splunk 简明教程

Splunk - Basic Search

Splunk 具有强大的搜索功能，使您能够搜索已摄取的整个数据集。通过命名为 Search & Reporting 的应用程序访问此功能，在登录到 Web 界面后，可以在左侧栏中看到此应用程序。

单击 search & Reporting 应用程序后，我们将看到一个搜索框，我们可以在其中开始搜索我们在上一章中上传的日志数据。

我们以如下所示的格式输入主机名，然后单击最右侧的搜索图标。这将显示突出显示搜索词组的结果。

我们可以一个接一个地编写用于搜索的词组，将它们组合起来，但将用户搜索字符串放在双引号中。

我们可以在搜索选项中使用与 AND/OR 运算符结合使用的通配符。在下面的搜索中，我们得到了一个结果，其中日志文件包含 fail、failed、failure 等词组，以及同一行中的密码词组。

我们可以通过选择一个字符串并将其添加到搜索中，进一步优化搜索结果。在下面的示例中，我们单击字符串 3351 并选择选项 Add to Search 。

在 3351 被添加到搜索词组后，我们得到了下面的结果，其中仅显示日志中包含 3351 的行。另外，请注意，随着我们优化搜索，搜索结果的时间线也有所变化。