Splunk - Recherche secondaire

Subsearch est un cas particulier de la recherche régulière lorsque le résultat d'une requête secondaire ou interne est l'entrée de la requête principale ou externe. Il est similaire au concept de sous-requête dans le cas du langage SQL. Dans Splunk, la requête principale doit renvoyer un résultat qui peut être entré dans la requête externe ou secondaire.

Lorsqu'une recherche contient une sous-recherche, la sous-recherche est exécutée en premier. Les sous-recherches doivent être placées entre crochets dans la recherche principale.

Exemple

Nous considérons le cas de trouver un fichier à partir du journal Web qui a une taille d'octet maximale. Mais cela peut varier chaque jour. Ensuite, nous voulons trouver uniquement les événements où la taille du fichier est égale à la taille maximale et est un dimanche.

Créer la sous-recherche

Nous créons d'abord la sous-recherche pour trouver la taille maximale du fichier. Nous utilisons la fonctionStat maxavec le champ nommé bytes comme argument. Cela identifie la taille maximale du fichier pour la période pendant laquelle la requête de recherche est exécutée.

L'image ci-dessous montre la recherche et le résultat de cette sous-recherche -

Ajout de la sous-recherche

Ensuite, nous ajoutons la requête subsearch à la requête principale ou externe en plaçant la sous-recherche entre crochets. La clause de recherche est également ajoutée à la requête de sous-recherche.

Comme nous le voyons, le résultat contient uniquement les événements où la taille du fichier est égale à la taille maximale du fichier trouvée en considérant tous les événements, et le jour de l'événement est un dimanche.