搜索
SplunkEnterprise6.0搜索⼿册册⽣成时间:2013年10⽉29⽇,下午12:57Copyright(c)2014SplunkInc.AllRightsReserved44444567101011121213151515171819212222222527272728282829293031313132323334TableofContents简简介欢欢迎使⽤搜索⼿册册使⽤Splunk搜索Splunk搜索包含哪哪些内内容对对正在运运⾏的搜索执执⾏操作设设置搜索模式以调调整搜索体验体验关关于搜索助理使⽤搜索任务查务查看器查查看搜索属属性搜索概概述关关于搜索关关于搜索管道关关于搜索语语⾔关关于search语语⾔语语法编写编写更好的搜索检检索事件关关于检检索事件使⽤搜索命令使⽤字段检检索事件从从索引和分布式搜索节节点中检检索事件分类类和分组类组类似事件使⽤时间线调查时间线调查事件模式指定时间时间范围围关关于搜索中的时间时间范围围选择选择要应应⽤于搜索的时间时间范围围在搜索中指定时间调节时间调节器在搜索中指定实时时间实时时间范围窗围窗⼝报报告搜索结结果关关于报报表命令创创建基于时间时间的图图表创创建不(⼀定)基于时间时间的图图表直观显观显⽰⾼低字段值值创创建⽤于显显⽰摘要统计统计信息的报报表在搜索结结果中查找关联查找关联、统计统计相关关性和差异异构构建多数数据系列图图表⽐较较多天中每⼩时时的总总和实时实时搜索和报报表关关于实时实时搜索和报报表SplunkWeb中的实时实时搜索和报报表CLI中的实时实时搜索和报报表实时实时搜索和报报表的预预期性能和已知限制如何限制实时实时搜索的使⽤情况况353535363637383838393941414142434344444646464648484849505051535454555555565656评估评估和操作字段关关于评估评估和操作字段使⽤eval命令和函数数使⽤查找从查找查找从查找表中添加字段使⽤搜索命令提取字段操作和评估评估多值值字段计计算统计统计信息关关于计计算统计统计信息使⽤stats命令和函数数将将stats与与eval表达达式和函数数配合使⽤将将迷你图你图添加到搜索结结果关联关联事件关关于事件相关关性使⽤时间确时间确定事件之间间的关关系关关于⼦搜索使⽤⼦搜索关联关联事件更改⼦搜索结结果的格式关关于交易确确定事件并将并将其分组为组为交易预测将来预测将来事件关关于SplunkEnterprise的预测预测分析更多搜索⽅法创创建和使⽤搜索宏编写编写⾃定义义搜索命令关关于本章搜索命令样样式指南编写编写搜索命令将将⾃定义义命令添加到Splunk控制对对⾃定义义命令的访问访问⾃定义义事件⽣成命令⽰例⾃定义义搜索命令shape外部化搜索错误错误字符串外部化搜索错误错误搜索⽰例和⾛查查本章包含哪哪些内内容?多数数据系列报报表⽐较较多天中每⼩时时的总总和监视监视和告警Windows磁盘盘使⽤情况况计计算动态动态字段的⼤⼩简简介欢欢迎使⽤搜索⼿册册现在,您已得到了系统中的所有数据...那么您想⽤它来做什么?⾸先使⽤Splunk的强⼤搜索功能来查找任何内容,⽽不只是少数预先确定的字段。结合使⽤时间和术语搜索。在IT基础结构的每个层之间查找错误,并追踪在系统发⽣故障之前的极短时间内的配置更改。本⼿册介绍搜索语⾔以及如何在Splunk中编写搜索。在您开始阅读相关搜索内容之前,请确保以下几点:您有权访问本地计算机或远程服务器中的数据。阅读《数据导⼊⼿册》中有关如何将数据导⼊Splunk的更多信息。了解Splunk中索引的运作⽅式。阅读《管理索引器⼿册》中有关Splunk如何处理数据的详细信息。了解字段和知识对象,如来源类型和事件类型。阅读《知识管理器⼿册》中有关Splunk知识对象的更多信息。熟悉搜索应⽤程序以及搜索和报表仪表板。如果您初次使⽤Splunk和搜索,“搜索教程”是最佳的起点,它会引导您完成添加数据、搜索数据以及构建简单的报表和仪表板。如果您只是对可在Splunk搜索中使⽤的搜索命令和参数的列表感兴趣,请参考《搜索参考⼿册》。制作PDF如果您需要本⼿册的PDF版本,请单击本页左侧⽬录下⽅的红⾊链接将搜索⼿册下载为PDF。即会为您动态⽣成⼿册的PDF版本,您可以将其保存或打印出来以便之后阅读。使⽤Splunk搜索Splunk搜索包含哪哪些内内容本主题介绍属于Splunk的搜索和报表应⽤⼀部分的“搜索”视图,此应⽤是您⽤于与数据交互的界⾯。统⼀的搜索和报表体验还将更⽅便您创作和编辑报表。您可以参阅《报表⼿册》中的有关创建和编辑报表的更多信息。搜索仪仪表板在运⾏搜索之前,“搜索”仪表板将包括:搜索栏。使⽤搜索栏可在SplunkWeb中运⾏您的搜索。只需键⼊您的搜索字符串并按Enter键或单击时间范围挑选器右侧的⼩望远镜图标。时间范围挑选器。使⽤时间范围挑选器指定检索事件的时间段。时间范围挑选器提供了许多可供选择的预设时间范围,但您也可以输⼊⾃定义时间范围。如何搜索。此⾯板可将您链接到搜索教程和搜索⼿册,以帮助您了解搜索。搜索内容。此⾯板会显⽰此Splunk实例上安装的您有权查看的数据的摘要。如果您单击数据摘要按钮,会打开⼀个窗⼝,其中有数据的“主机”、“来源”、“来源类型”选项卡。新搜索仪仪表板运⾏新搜索之后,将转到新搜索页⾯。搜索栏和时间范围挑选器在此视图中仍然可⽤,但仪表板会更新为包含更多元素,包括搜索操作按钮、搜索模式选择器、事件计数、任务状态栏,以及“事件”、“统计”和“可视化”结果选项卡。对对正在运运⾏的搜索执执⾏操作Splunk提供了⼀组控件,可⽤于管理“进⾏中”搜索并创建报表和仪表板。控制搜索任务务的进进度在启动搜索后,您可以在不离开“搜索”页⾯的情况下访问和管理与搜索任务有关的信息。⼀旦您的搜索处于运⾏中、暂停或完成状态,即可单击作业并从中选择可⽤选项。4您可以:编辑任务设置。选择此选项可打开“任务设置”对话框,可在此对话框中更改任务的读取权限、延长任务的使⽤期限、获取任务的URL(可利⽤此URL与其他⼈共享任务)或将任务的链接放⼊浏览器的书签栏。将任务发送到后台运⾏。如果任务的完成进度很慢,您想要在后台运⾏此任务,并同时处理其他Splunk活动(包括新的搜索任务),则可以选择此选项。检查任务。打开⼀个单独的窗⼝并通过搜索任务查看器显⽰搜索任务的信息和指标。您可以在搜索运⾏时或搜索完成之后选择此操作。有关更多信息,请参阅“使⽤搜索任务查看器”。删除任务。使⽤此选项可删除当前处于运⾏中、暂停或完成状态的任务。删除任务后,仍可将搜索保存为报表。更改搜索模式搜索模式可控制搜索体验。通过减少搜索模式返回的事件数据,可以将搜索模式设置为加快搜索的速度(快速模式),或者可以将搜索模式设置为尽可能地多传回事件信息(详细模式)。在智能模式(默认设置)下,它会基于您在运⾏的搜索类型⾃动切换搜索⾏为。此内容将在下⼀个主题“设置搜索模式以调整搜索体验”中进⾏更详细的介绍。保存结结果另存为菜单列出了⽤于将搜索结果另存为报表、仪表板⾯板、告警和事件类型的选项。报表:如果要使搜索可供以后使⽤,可以将其保存为报表。通过在“报表”列表页⾯上查找报表并单击其名称,可以必要时在特殊基础上再次运⾏报表。请阅读《报表⼿册》中有关如何“创建和编辑报表”的更多信息。仪表板⾯板...:如果您希望根据搜索⽣成仪表板⾯板并将其添加到新的或现有仪表板中,请单击此项。有关仪表板的更多信息,请参阅《Splunk数据可视化⼿册》中的“通过UI创建和编辑仪表板”。告警:单击此项可根据搜索定义告警。告警在后台运⾏保存的搜索(按计划或实时)。当搜索返回符合您在告警定义中所设置条件的结果时,即会触发告警。有关更多信息,请参阅《告警⼿册》中的“关于告警”。事件类型:使⽤事件类型,您可以对具有共同特性的事件进⾏归类。如果搜索不包括管道符或⼦搜索,您可以使⽤此项将搜索保存为事件类型。有关更多信息,请参阅《知识管理器⼿册》中的“关于事件类型”和“在SplunkWeb中定义和维护事件类型”。其他搜索操作位于任务搜索控件与搜索模式选择器之间的是三个按钮,分别⽤于共享、导出和打印搜索结果。单击共享可共享任务。选择此按钮,任务的⽣命周期将延长⾄7天,读取权限将设置为“每个⼈”。单击导出可导出结果。可以选择以CSV、原始事件、XML或JSON形式输出并指定要导出的结果数。单击打印可将结果发送到已配置的打印机。此外,可使⽤另存为菜单旁边的关闭按钮取消搜索并返回到“Splunk主页”。设设置搜索模式以调调整搜索体验体验您可以使⽤搜索模式选择器来根据您的需求提供搜索体验。根据搜索模式设置⽅式,您可以看到搜索可⽤的所有数据(需要花费较长的搜索时间),也可以通过特定⽅式加速并简化搜索。搜索模式选择器位于搜索栏的右上⾓。可⽤模式包括智能(默认值)、快速和详细:5快速和详细模式代表搜索模式范围的两端。默认的智能模式会根据所运⾏的搜索类型在⼆者之间切换。每当您⾸次运⾏保存的搜索时,该搜索将在智能模式下运⾏。选择选择“快速”模式如果您选择快速,您希望Splunk将搜索性能放在⾸位,并且您不想查看不重要的字段或事件数据。这意味着此模式不会返回此搜索所有可能的数据,⽽只是返回重要和所需的数据。使⽤快速搜索模式时,Splunk会:禁⽤字段发现。字段发现是指Splunk⽤于提取除了默认字段(如host、source和sourcetype)以外的其他字段的进程。这意味着Splunk仅返回有关默认字段和所需字段的信息来执⾏搜索(如果您对特定字段执⾏搜索,它将提取这些字段)。仅在运⾏报表搜索时以报表结果表形式或可视化⽅式描述搜索结果(报表搜索是指包含转换命令的搜索)。在快速模式下,您将只会看到事件列表,查看不包含转换命令的搜索的事件时间线。选择选择“详细详细”模式如果您选择详细模式,即使这表⽰搜索需要较长的时间才能完成,即使搜索包含报表命令,您仍希望Splunk尽可能返回所有字段和事件数据。使⽤详细搜索模式运⾏搜索时,Splunk会:尽可能发现所有字段。这包括默认字段、⾃动搜索时间字段提取以及所有⽤户定义的索引时间和搜索时间字段提取。发现的字段将显⽰在左侧边栏。返回结果的事件列表视图并⽣成搜索时间线。如果搜索包含报表命令,它还会⽣成报表表格和可视化。如果您将转换搜索放在⼀起,但不完全确定需要报告哪些字段,或者您需要验证所汇总的事件是否正确,您可能希望使⽤详细模式。注意:在详细模式下运⾏搜索时,报表⽆法受益于报表加速功能。如果为报表启⽤报表加速,并且此后搜索运⾏的速度更快,请注意,如果将搜索的模式切换为详细,搜索将以较慢的⾮加速速度运⾏。报表加速设计⽤于超出10万个事件和利⽤转换命令的缓慢完成搜索。有关更多信息,请参阅《报表⼿册》中的“加速报表”。选择选择“智能”模式智能模式为默认搜索模式。所有报表在⾸次创建时,也在此模式下运⾏。该模式设计为所运⾏的任何搜索或报表提供最佳结果。如果您仅搜索事件,可获得所需的全部事件信息。如果您运⾏报表搜索,Splunk会⾸先考虑速度,然后再考虑完整性,并会将您直接带⼊报表结果表或可视化。如果运⾏的智能模式搜索不包括转换命令,Splunk的⾏为会与在详细模式下的⾏为相同。它会:尽可能发现所有字段。⽣成完整的事件列表和事件时间线。将不显⽰任何事件表或可视化,因为您需要使⽤转换命令来实现此⽬的。如果运⾏的智能模式搜索包括转换命令,Splunk的⾏为会与在快速模式下的⾏为相同。它会:禁⽤字段发现。不会花时间⽣成事件列表和事件时间线,并将您直接带到报表结果表或可视化。有关转换命令和转换搜索的更多信息,请参阅《搜索⼿册》中的“关于报表命令”。关关于搜索助理Splunk的搜索语⾔⾮常广泛,包括许多搜索命令、参数和函数。您可能会在形成搜索⽅⾯遭遇困难,因为您不熟悉所有命令,⽽且不知道已经从数据中提取了哪些信息。在构构建搜索时时使⽤搜索助理查查看数数据当您构建搜索时,您不需要知道使⽤哪些搜索命令和参数来形成搜索,因为搜索助理将为您提供相应的建议。当您在搜