Splunk-field-searching
Splunk-フィールド検索
Splunkはアップロードされたマシンデータを読み取るとき、データを解釈し、データレコード全体に関する単一の論理的事実を表す多くのフィールドに分割します。
たとえば、単一の情報レコードには、サーバー名、イベントのタイムスタンプ、ログイン試行またはhttp応答などのログに記録されるイベントのタイプなどが含まれる場合があります。 非構造化データの場合でも、Splunkはフィールドをキーと値のペアに分割するか、フィールドが持つデータ型、数値、文字列などに基づいてフィールドを分離しようとします。
前の章でアップロードしたデータを続けて、次の画面を開く[フィールドの表示]リンクをクリックして、 secure.log ファイルのフィールドを確認できます。 このログファイルからSplunkが生成したフィールドに気付くことができます。
フィールドの選択
すべてのフィールドのリストからフィールドを選択または選択解除することにより、表示するフィールドを選択できます。 *すべてのフィールド*をクリックすると、すべてのフィールドのリストを表示するウィンドウが開きます。 これらのフィールドの一部には、すでに選択されていることを示すチェックマークが付いています。 チェックボックスを使用して、表示するフィールドを選択できます。
フィールドの名前のほかに、フィールドが持つ個別の値の数、そのデータ型、このフィールドが存在するイベントのパーセンテージを表示します。
フィールドサマリー
フィールドの名前をクリックすると、選択したすべてのフィールドの非常に詳細な統計情報が利用可能になります。 フィールドのすべての個別の値、カウント、およびパーセンテージが表示されます。
検索でのフィールドの使用
フィールド名は、検索の特定の値とともに検索ボックスに挿入することもできます。 次の例では、 mailsecure_log という名前のホストについて、10月15日の日付のすべてのレコードを検索することを目指しています。 この特定の日付の結果を取得します。