Splunk-検索マクロ

検索マクロは、他の検索に挿入できる検索処理言語（SPL）の再利用可能なブロックです。データセットの異なる部分または値で同じ検索ロジックを動的に使用する場合に使用されます。それらは動的に引数を取ることができ、検索結果は新しい値に従って更新されます。

マクロ作成

検索マクロを作成するには、*設定→詳細検索→検索マクロ→新規追加*に進みます。これにより、マクロの作成を開始する次の画面が表示されます。

*web_applications* ログからファイルサイズに関するさまざまな統計情報を表示したいと思います。 統計は、ログのバイトフィールドを使用したファイルサイズの最大、最小、および平均値です。 結果には、ログにリストされている各ファイルのこれらの統計が表示されます。

そのため、統計のタイプは本質的に動的です。 stats関数の名前は、引数としてマクロに渡されます。

次に、次の画面に示すように、さまざまなプロパティを設定してマクロを定義します。マクロの名前には（1）が含まれます。これは、検索文字列で使用されるときにマクロに渡される引数が1つあることを示します。 fun は、検索クエリでの実行中にマクロに渡される引数です。

マクロを使用するには、マクロを検索文字列の一部にします。引数に異なる値を渡すと、予想どおり異なる結果が表示されます。

ファイルの平均サイズ（バイト単位）を見つけることを検討してください。引数としてavgを渡し、以下に示す結果を取得します。このマクロは、検索クエリの一部として `記号の下に保持されています。

同様に、ログに存在する各ファイルの最大ファイルサイズが必要な場合は、引数として max を使用します。結果は以下のとおりです。