Splunk Рb̼squeda de campo
AREAtutorial » Big Data & Analitycs » Splunk – búsqueda de campo
Cuando Splunk lee los datos de la máquina cargados, los interpreta y los divide en varios campos, que representan un solo hecho lógico sobre todo el registro de datos.
Por ejemplo, un único registro de información puede contener el nombre del servidor, la marca de tiempo del evento, el tipo de evento que se está registrando, ya sea un intento de inicio de sesión o una respuesta HTTP, etc. Incluso en el caso de datos no estructurados, Splunk intenta dividir los campos en valores clave. pares o sepárelos en función de los tipos de datos que tengan, numéricos y de cadena, etc.
Continuando con los datos cargados en el capÃtulo anterior, podemos ver los campos de secure.log archivo haciendo clic en el enlace mostrar campos, que abrirá la siguiente pantalla. Podemos notar los campos generados por Splunk a partir de este archivo de registro.
Podemos elegir qué campos se mostrarán seleccionando o deseleccionando campos de la lista de todos los campos. Prensado todos los campos abre una ventana con una lista de todos los campos. Algunos de estos campos están marcados con una marca de verificación para indicar que ya están seleccionados. Podemos usar casillas de verificación para seleccionar qué campos mostrar.
Además del nombre del campo, muestra la cantidad de valores diferentes que tiene el campo, su tipo de datos y qué porcentaje de eventos está presente este campo.
Se encuentran disponibles estadÃsticas muy detalladas para cada campo seleccionado haciendo clic en el nombre del campo. Muestra todos los valores individuales del campo, su número y sus porcentajes.
Los nombres de campo también se pueden insertar en el cuadro de búsqueda junto con valores especÃficos para buscar. En el siguiente ejemplo, nuestro objetivo es encontrar todos los registros para la fecha 15 de octubre para un host llamado mailsecure_log… Obtenemos el resultado exactamente en esta fecha.
🚫