Splunk-subsearching
提供:Dev Guides
Splunk-サブサーチ
サブサーチは、セカンダリクエリまたは内部クエリの結果がプライマリクエリまたは外部クエリへの入力である場合の通常の検索の特殊なケースです。 SQL言語の場合のサブクエリの概念に似ています。 Splunkでは、プライマリクエリは、外部クエリまたはセカンダリクエリに入力できる1つの結果を返す必要があります。
検索にサブ検索が含まれる場合、サブ検索が最初に実行されます。 プライマリ検索では、サブ検索を角括弧で囲む必要があります。
例
最大バイトサイズのWebログからファイルを見つける場合を考えます。 しかし、それは毎日異なる場合があります。 次に、ファイルサイズが最大サイズに等しく、日曜日であるイベントのみを検索します。
サブサーチを作成する
最初にサブサーチを作成して、最大ファイルサイズを見つけます。 引数としてbytesという名前のフィールドを持つ関数 Stat max を使用します。 これは、検索クエリが実行される時間枠のファイルの最大サイズを識別します。
下の画像は、このサブサーチの検索と結果を示しています-
サブサーチの追加
次に、サブサーチを角括弧内に配置することにより、サブサーチクエリをプライマリクエリまたは外部クエリに追加します。 また、検索句がサブ検索クエリに追加されます。
ご覧のとおり、結果には、ファイルサイズがすべてのイベントを考慮した最大ファイルサイズに等しいイベントのみが含まれ、イベントの日は日曜日です。
