Splunk-ルックアップ

検索クエリの結果では、フィールドの意味を明確に伝えていない値を取得することがあります。 たとえば、製品IDの値を数値結果としてリストするフィールドを取得できます。 これらの数値は、それがどのような製品であるかを私たちに何も与えません。 しかし、製品名とともに製品IDをリストすると、検索結果の意味を理解できる良いレポートが得られます。

両方のデータセットの等しい値を使用して、あるフィールドの値を別のデータセットの同じ名前のフィールドにリンクすることをルックアッププロセスと呼びます。 利点は、2つの異なるデータセットから関連する値を取得することです。

ルックアップファイルを作成して使用する手順

データセットにルックアップフィールドを正常に作成するには、以下の手順に従う必要があります-

ルックアップファイルを作成する

ホストがweb_applicationであるデータセットを検討し、productidフィールドを確認します。 このフィールドは単なる数字ですが、製品名をクエリ結果セットに反映する必要があります。 次の詳細を含むルックアップファイルを作成します。 ここでは、最初のフィールドの名前を productid として保持しています。これは、データセットから使用するフィールドと同じです。

productId,productdescription
WC-SH-G04,Tablets
DB-SG-G01,PCs
DC-SG-G02,MobilePhones
SC-MG-G10,Wearables
WSC-MG-G10,Usb Light
GT-SC-G01,Battery
SF-BVS-G01,Hard Drive

ルックアップファイルを追加する

次に、以下に示すように設定画面を使用して、Splunk環境にルックアップファイルを追加します-

ルックアップ

ルックアップを選択すると、ルックアップを作成および構成するための画面が表示されます。 以下に示すように、ルックアップテーブルファイルを選択します。

ルックアップ

アップロードするルックアップファイルとして productidvals.csv ファイルを参照して選択し、検索先アプリとして検索を選択します。 また、同じ宛先ファイル名を保持します。

ルックアップ

[保存]ボタンをクリックすると、ファイルはルックアップファイルとしてSplunkリポジトリに保存されます。

ルックアップ定義を作成する

検索クエリで上記でアップロードしたLookupファイルから値を検索できるようにするには、検索定義を作成する必要があります。 これを行うには、もう一度*設定→ルックアップ→ルックアップ定義→新規追加*に進みます。

ルックアップ

次に、 Settings→Lookups→Lookup Definition に移動して、追加したルックアップ定義の可用性を確認します。

ルックアップ

ルックアップフィールドの選択

次に、検索クエリのルックアップフィールドを選択する必要があります。 これは、新規検索→すべてのフィールド*に進みます。 次に、 *productid のチェックボックスをオンにすると、ルックアップファイルから productdescription フィールドも自動的に追加されます。

ルックアップ

ルックアップフィールドの使用

次に、以下に示すように、検索クエリでLookupフィールドを使用します。 視覚化では、productidではなくproductdescriptionフィールドで結果が表示されます。

ルックアップ