Splunk – Búsqueda básica

Splunk tiene una función de búsqueda sólida que le permite buscar en todo el conjunto de datos que se ha recuperado. Se accede a esta función a través de una aplicación llamada Búsqueda e informes que se puede ver en la barra lateral izquierda después de iniciar sesión en la interfaz web.

Búsqueda básica1

Cuando haces clic en búsqueda e informes app, aparece un cuadro de búsqueda frente a nosotros, en el que podemos comenzar a buscar a través de los datos de registro que descargamos en el capítulo anterior.

Ingresamos el nombre de host en el formato que se muestra a continuación y hacemos clic en el ícono de búsqueda en la esquina superior derecha. Esto nos da un resultado que resalta la consulta de búsqueda.

Búsqueda básica2

Combinando consultas de búsqueda

Podemos combinar términos de búsqueda escribiéndolos uno por uno, pero poniendo las cadenas de búsqueda del usuario entre comillas dobles.

Búsqueda básica3

Uso de comodines

Podemos usar comodines en nuestra opción de búsqueda en combinación con Y / O operadores. En la búsqueda a continuación, obtenemos un resultado donde el archivo de registro tiene términos que contienen falla, falla, falla, etc., y también el término contraseña en la misma línea.

Búsqueda básica4

Refinar los resultados de la búsqueda

Podemos refinar aún más el resultado de la búsqueda seleccionando una cadena y agregándola a la búsqueda. En el siguiente ejemplo, hacemos clic en la línea 3351 y elige una opción Agregar a la búsqueda

Después 3351 agregado a la consulta de búsqueda, obtenemos el resultado a continuación que solo muestra las líneas del registro que tienen 3351 en ellas. También tenga en cuenta cómo ha cambiado la línea de tiempo de los resultados de búsqueda a medida que refinamos la búsqueda.

Búsqueda básica

En Este Curso

🚫