Splunk – Suscribirse

Una suscripción es un caso especial de una búsqueda regular en la que el resultado de una consulta secundaria o interna se ingresa en una consulta primaria o externa. Esto es similar al concepto de una subconsulta en el caso de SQL. En Splunk, la consulta principal debe devolver un único resultado que se pueda ingresar en una consulta externa o secundaria.

Si la búsqueda contiene una suscripción, comienza primero. Las suscripciones deben incluirse entre corchetes en la búsqueda principal.

Ejemplo

Estamos ante el caso de encontrar un archivo de un weblog que tenga un tamaño máximo en bytes. Pero eso puede cambiar todos los días. Entonces solo queremos encontrar eventos que tengan un tamaño de archivo igual al tamaño máximo, y este es el domingo.

Crea una suscripción

Primero, creamos un subproyecto para encontrar el tamaño máximo de archivo. Usemos la función Estadística máxima con un campo llamado bytes como argumento. Esto determina el tamaño máximo de archivo para el período de tiempo durante el cual se realiza la consulta de búsqueda.

La siguiente imagen muestra la búsqueda y el resultado de esta subinvestigación:

Suscribirse_1

Agregar una suscripción

Luego agregamos una búsqueda adicional a la consulta principal o externa colocándola entre corchetes. El término de búsqueda también se agrega a la consulta de búsqueda.

Subscribe_2

Como podemos ver, el resultado contiene solo eventos, cuyo tamaño de archivo es igual al tamaño de archivo máximo encontrado, incluidos todos los eventos, y el día del evento es el domingo.

En Este Curso

🚫