Splunk - Recherche sur le terrain
Lorsque Splunk lit les données de la machine téléchargées, il interprète les données et les divise en plusieurs champs qui représentent un fait logique unique sur l'ensemble de l'enregistrement de données.
Par exemple, un seul enregistrement d'informations peut contenir le nom du serveur, l'horodatage de l'événement, le type de l'événement enregistré, qu'il s'agisse d'une tentative de connexion ou d'une réponse http, etc. Même en cas de données non structurées, Splunk essaie de diviser les champs en valeur clé les paires ou les séparer en fonction des types de données dont ils disposent, numérique et chaîne, etc.
En continuant avec les données téléchargées dans le chapitre précédent, nous pouvons voir les champs du secure.logfichier en cliquant sur le lien afficher les champs qui ouvrira l'écran suivant. Nous pouvons remarquer les champs que Splunk a générés à partir de ce fichier journal.
Choisir les champs
Nous pouvons choisir les champs à afficher en sélectionnant ou désélectionnant les champs dans la liste de tous les champs. Cliquer surall fieldsouvre une fenêtre affichant la liste de tous les champs. Certains de ces champs sont cochés, indiquant qu'ils sont déjà sélectionnés. Nous pouvons utiliser les cases à cocher pour choisir nos champs à afficher.
Outre le nom du champ, il affiche le nombre de valeurs distinctes des champs, son type de données et le pourcentage d'événements dans lesquels ce champ est présent.
Résumé du champ
Des statistiques très détaillées pour chaque champ sélectionné deviennent disponibles en cliquant sur le nom du champ. Il montre toutes les valeurs distinctes pour le champ, leur nombre et leurs pourcentages.
Utilisation des champs dans la recherche
Les noms de champ peuvent également être insérés dans la zone de recherche avec les valeurs spécifiques pour la recherche. Dans l'exemple ci-dessous, nous cherchons à trouver tous les enregistrements pour la date du 15 octobre pour l'hôte nommémailsecure_log. Nous obtenons le résultat pour cette date précise.
