Splunk - 查找

在搜索查询的结果中，我们有时会得到一些值，这些值可能无法清楚地传达字段的含义。例如，我们可能会得到一个字段，该字段将产品 ID 的值列为数字结果。这些数字不会让我们知道它是什么类型的产品。但如果我们将产品名称与产品 ID 一起列出，这将为我们提供一份很好的报告，让我们了解搜索结果的含义。

使用来自两个数据集的相等值将一个字段的值链接到另一个数据集中具有相同名称的字段，这称为查找过程。优点是，我们从两个不同的数据集中检索相关值。

创建和使用查找文件的步骤

为了在数据集中成功创建查找字段，我们需要遵循以下步骤 −

创建查找文件

我们将主机为 web_application 的数据集视为查询文件，并查看 productid 字段。此字段只是一个数字，但我们希望产品名称反映在我们的查询结果集中。我们创建一个包含以下详细信息的查找文件。在这里，我们将第一个字段的名称保留为 productid，这与我们将从数据集中使用的字段相同。

productId,productdescription
WC-SH-G04,平板电脑
DB-SG-G01,PCs
DC-SG-G02,移动电话
SC-MG-G10,可穿戴设备
WSC-MG-G10,Usb Light
GT-SC-G01,电池
SF-BVS-G01,硬盘

添加查找文件

接下来，我们使用如下所示的设置屏幕将查找文件添加到 Splunk 环境 −

选择后在查找中，我们会看到一个屏幕来创建和配置查找。我们选择查找表文件，如下所示。

我们浏览并选择文件 productidvals.csv 作为要上传的查找文件，并选择搜索作为目标应用程序。我们还保留相同的目标文件名。

单击保存按钮后，文件将作为查找文件保存到 Splunk 存储库。

创建查找定义

为了使搜索查询能够从我们刚刚上传的查找文件中查找值，我们需要创建一个查找定义。我们再次转到设置 → 查找 → 查找定义 → 添加新 即可完成此操作。

接下来，我们转到设置 → 查找 → 查找定义 检查我们添加的查找定义是否可用。

选择查找字段

接下来，我们需要为搜索查询选择查找字段。这可以通过转到新搜索 → 所有字段 来完成。然后选中 productid 复选框，这将自动从查找文件中添加 productdescription 字段。

使用查找字段

现在我们在搜索查询中使用查找字段，如下所示。可视化显示结果中包含 productdescription 字段，而不是 productid。