Splunk - 子搜索

子搜索是常规搜索的一种特殊情况，即次要或内部查询的结果是主要或外部查询的输入。它类似于 SQL 语言中的子查询概念。在 Splunk 中，主要查询应返回一个结果，该结果可输入到外部或次要查询。

当搜索包含子搜索时，将首先运行子搜索。在主要搜索中，子搜索必须括在方括号中。

示例

我们考虑从 Web 日志中查找具有最大字节大小的文件的情况。但这可能每天都会有所不同。然后，我们只想查找文件大小等于最大大小且为星期日的事件。

我们首先创建子搜索以查找最大文件大小。我们使用函数 Stat max 并以名为 bytes 的字段作为参数。这确定了运行搜索查询的时间范围内文件的最大大小。

下图显示了搜索和此子搜索的结果 −

接下来，我们将子搜索放在方括号内，将子搜索查询添加到主查询或外部查询中。此外，搜索子句也添加到子搜索查询中。

如我们所见，结果仅包含文件大小等于考虑所有事件后找到的最大文件大小的事件，并且事件日是星期日。