Como resultado de una consulta de búsqueda, a veces obtenemos valores que pueden no reflejar claramente el significado del campo. Por ejemplo, podemos obtener un campo que enumere el valor de ID del producto como un resultado numérico. Estos números no nos dan idea de qué tipo de producto es. Pero si enumeramos el nombre del producto junto con la identificación del producto, obtenemos un buen informe donde entendemos el significado del resultado de la búsqueda.
Este enlace de valores de un campo a un campo del mismo nombre en otro registro utilizando los mismos valores de ambos registros se denomina proceso de búsqueda. La ventaja es que recuperamos los valores relacionados de dos conjuntos de datos diferentes.
Pasos para crear y utilizar un archivo de búsqueda
Para crear con éxito un campo de búsqueda en un registro, debemos realizar los siguientes pasos:
Crear archivo de búsqueda
Consideramos el registro con host como web_application y observamos el campo productid. Este campo es solo un número, pero queremos que los nombres de los productos se reflejen en el conjunto de resultados de nuestra consulta. Creamos un archivo de búsqueda con los siguientes detalles. Aquí hemos mantenido el nombre del primer campo como identificación de producto Este es el mismo que el campo que usaremos del registro.
productId,productdescription WC-SH-G04,Tablets DB-SG-G01,PCs DC-SG-G02,MobilePhones SC-MG-G10,Wearables WSC-MG-G10,Usb Light GT-SC-G01,Battery SF-BVS-G01,Hard Drive
Agregar el archivo de búsqueda
A continuación, agreguemos el archivo de búsqueda al entorno de Splunk usando las pantallas de configuración como se muestra a continuación:
Después de seleccionar las búsquedas, se nos presenta una pantalla para crear y configurar la búsqueda. Seleccionamos los archivos de la tabla de búsqueda como se muestra a continuación.
Navegamos para seleccionar el archivo productidvals.csv cargar como nuestro archivo de búsqueda y seleccionar la búsqueda como la aplicación de destino. También mantenemos el mismo nombre de archivo de destino.
Al hacer clic en el botón Guardar, se guarda el archivo como un archivo de búsqueda en el repositorio de Splunk.
Crear definiciones de búsqueda
Para que una consulta de búsqueda busque valores del archivo de búsqueda cargado anteriormente, debemos crear una definición de búsqueda. Hacemos esto volviendo Ajustes → Búsquedas → Definición de búsqueda → Añadir nuevo .
A continuación, verifiquemos la disponibilidad de la definición de búsqueda que agregamos yendo a Ajustes → Búsquedas → Definición de búsqueda .
Seleccionar campo de búsqueda
A continuación, debemos seleccionar el campo de búsqueda para nuestra consulta de búsqueda. Eso está hecho, lo haré. Nueva búsqueda → Todos los campos . Luego marque la casilla para identificación de producto que se añade automáticamente Descripción del Producto Campo de búsqueda de archivos.
Utilice el cuadro de búsqueda
Ahora usamos el cuadro de búsqueda en la consulta de búsqueda como se muestra a continuación. La visualización muestra el resultado con el campo productdescription en lugar de productid.
Relacionado, [2021] Splunk – Adicción {DH}
GIPHY App Key not set. Please check settings