Como resultado de la consulta de búsqueda, a veces obtenemos valores que no pueden transmitir claramente el valor del campo. Por ejemplo, podemos obtener un campo que contenga el valor del ID del producto como resultado numérico. Estos números no nos darán una idea de qué tipo de producto es. Pero si incluimos el nombre del producto junto con el ID del producto, nos dará un buen informe en el que entendemos el significado del resultado de la búsqueda.
Esta vinculación de los valores de un campo a un campo del mismo nombre en otro conjunto de datos utilizando los mismos valores de ambos conjuntos de datos se denomina proceso de búsqueda. La ventaja es que obtenemos valores relacionados de dos conjuntos de datos diferentes.
Para crear con éxito un campo de búsqueda en un conjunto de datos, debemos seguir estos pasos:
Vemos el conjunto de datos con el host como web_application y miramos el campo productid. Este campo es solo un número, pero queremos que los nombres de los productos aparezcan en el conjunto de resultados de nuestra consulta. Creamos un archivo de búsqueda con los siguientes detalles. Aquà hemos almacenado el nombre del primer campo como número de identificación del producto que es el mismo que el campo que vamos a usar del conjunto de datos.
productId,productdescription WC-SH-G04,Tablets DB-SG-G01,PCs DC-SG-G02,MobilePhones SC-MG-G10,Wearables WSC-MG-G10,Usb Light GT-SC-G01,Battery SF-BVS-G01,Hard Drive
Luego, agregamos el archivo de búsqueda al entorno de Splunk usando las pantallas de configuración como se muestra a continuación:
Después de seleccionar una búsqueda, se nos presenta una pantalla para crear y configurar una búsqueda. Seleccionamos los archivos de la tabla de búsqueda como se muestra a continuación.
Navegamos para seleccionar un archivo productidval.csv como el archivo de búsqueda que se descargará y seleccione buscar como nuestra aplicación de destino. También mantenemos el mismo nombre de archivo de destino.
Cuando se hace clic en el botón Guardar, el archivo se guarda en el repositorio de Splunk como un archivo de búsqueda.
Para que la consulta de búsqueda busque valores del archivo de búsqueda que acabamos de descargar, necesitamos crear una definición de búsqueda. Hacemos esto yendo a Configuración -> Buscar -> Definición de búsqueda -> Agregar nuevo …
Luego verificamos la disponibilidad de la definición de búsqueda que agregamos yendo a Configuración -> Buscar -> Definición de búsqueda …
A continuación, debemos seleccionar el campo de búsqueda para nuestra consulta de búsqueda. Está hecho, voy a Nueva búsqueda → Todos los campos … Entonces marque la casilla número de identificación del producto que agregará automáticamente Descripción del producto también desde el archivo de búsqueda.
Ahora estamos usando el cuadro de búsqueda en la consulta de búsqueda como se muestra a continuación. La visualización muestra el resultado con un campo de descripción de producto en lugar de un producto.
🚫