Splunk - Recherche de base

Splunk dispose d'une fonctionnalité de recherche robuste qui vous permet de rechercher l'ensemble de données ingérées. Cette fonctionnalité est accessible via l'application nomméeSearch & Reporting qui peut être vu dans la barre latérale gauche après la connexion à l'interface Web.

En cliquant sur le search & Reporting app, on nous présente un champ de recherche, où nous pouvons commencer notre recherche sur les données de journal que nous avons téléchargées dans le chapitre précédent.

Nous tapons le nom d'hôte dans le format indiqué ci-dessous et cliquons sur l'icône de recherche présente dans le coin le plus à droite. Cela nous donne le résultat mettant en évidence le terme de recherche.

Combinaison de termes de recherche

Nous pouvons combiner les termes utilisés pour la recherche en les écrivant les uns après les autres mais en mettant les chaînes de recherche de l'utilisateur entre guillemets.

Utilisation de Wild Card

Nous pouvons utiliser des caractères génériques dans notre option de recherche combinée avec le AND/ORles opérateurs. Dans la recherche ci-dessous, nous obtenons le résultat où le fichier journal contient les termes contenant échec, échec, échec, etc., ainsi que le terme mot de passe dans la même ligne.

Affiner les résultats de recherche

Nous pouvons affiner davantage le résultat de la recherche en sélectionnant une chaîne et en l'ajoutant à la recherche. Dans l'exemple ci-dessous, nous cliquons sur la chaîne3351 et sélectionnez l'option Add to Search.

Après 3351est ajouté au terme de recherche, nous obtenons le résultat ci-dessous qui ne montre que les lignes du journal contenant 3351. Indiquez également comment la chronologie du résultat de la recherche a changé lorsque nous avons affiné la recherche.