Splunk-基本検索

Splunkには、取り込んだデータセット全体を検索できる堅牢な検索機能があります。 この機能には、 Search＆Reporting という名前のアプリからアクセスできます。このアプリは、ウェブインターフェースにログインした後、左側のバーに表示されます。

基本検索1

*search＆Reporting* アプリをクリックすると、検索ボックスが表示され、前の章でアップロードしたログデータで検索を開始できます。

以下に示す形式でホスト名を入力し、右端にある検索アイコンをクリックします。 これにより、検索語を強調した結果が得られます。

基本検索2

検索用語の組み合わせ

検索に使用する用語を結合するには、次のように記述しますが、ユーザー検索文字列を二重引用符で囲みます。

基本検索3

ワイルドカードを使用する

検索オプションでワイルドカードを AND/OR 演算子と組み合わせて使用​​できます。 以下の検索では、ログファイルに「fail」、「failed」、「failure」などの用語が含まれ、同じ行にパスワードという用語が含まれる結果が得られます。

基本検索4

検索結果の絞り込み

文字列を選択して検索に追加することにより、検索結果をさらに絞り込むことができます。 以下の例では、文字列 3351 をクリックして、*検索に追加*オプションを選択します。

*3351* が検索語に追加された後、3351を含むログからの行のみを示す以下の結果が得られます。 また、検索の絞り込みに伴い、検索結果のタイムラインがどのように変化したかをマークします。

基本検索