Splunk - 基本搜索

Splunk 具有强大的搜索功能，可让您搜索所摄取的整个数据集。此功能可通过名为搜索和报告的应用程序访问，该应用程序可在登录 Web 界面后在左侧栏中看到。

单击搜索和报告应用程序时，我们会看到一个搜索框，我们可以从中开始搜索上一章中上传的日志数据。

我们按照如下所示的格式输入主机名，然后单击最右上角的搜索图标。这样我们就得到了突出显示搜索词的结果。

组合搜索词

我们可以将用于搜索的词组合起来，方法是将它们一个接一个地写出来，但将用户搜索字符串放在双引号下。

使用通配符

我们可以在搜索选项中使用通配符与 AND/OR 运算符结合使用。在下面的搜索中，我们得到的结果中，日志文件包含包含fail、failed、failure等字词，以及同一行中的密码字词。

优化搜索结果

我们可以通过选择一个字符串并将其添加到搜索中来进一步优化搜索结果。在下面的示例中，我们点击字符串3351并选择选项添加到搜索。

将3351添加到搜索词后，我们得到以下结果，其中仅显示日志中包含3351的那些行。还请标记随着我们优化搜索，搜索结果的时间线如何变化。