使用字段查找對照(field lookup)
字段查找對照的意思是我們可以通過去查找Splunk所導入數據之外的csv文件來把數據包含的字段信息進行擴展,從而獲得更多的內容
例如,在上面的例子中,product_id的內容對我們來說並不直觀,我們並不知道這些產品代碼具體是什么? 這些信息並不存在於日志中
但是我們可以通過外部查找的方式獲得。
我們先從官網下載一個product_lookup.csv.zip文件.下載並解壓縮
@url http://docs.splunk.com/images/c/cb/Product_lookup.csv.zip
進入對照表管理
在splunk頁面右上角點擊"管理", 在管理頁面選擇"查找"
點擊"查找",進入對照表管理頁面
上傳對照表文件
在"查找表文件"一行點擊新增,選擇要上傳的"product_lookup.csv,在"目標文件名稱中"也填入product_lookup_csv,保存完成即可
查找表定義
在"查找表定義"一行選擇新增,按照下圖進行定義:
設置自動查詢
在"自動查找"一行選擇新增,按照下圖進行定義
完成上述查找定義后,返回search應用,搜索sourcetype = access_*,編輯選擇的字段,這時我們可以看到會增加product_name,price字段
更多搜索實例
1.頁面總瀏覽量是多少?
source="Sampledata.zip:./apache*" method=GET | stats count AS 頁面瀏覽數量
2.頁面瀏覽量和實際購買數字差別比例有多少?
source="Sampledata.zip:./apache*" method=GET | stats count AS Views, count(eval(action="purchase")) AS Purchases|eval percentage=round( 100-(Purchases/Views*100)) | rename views AS 瀏覽數量 | rename Purchases AS 購買數量| rename percentage
as "%差別比例"
3.頁面所銷售的商品名稱,數量和收入是多少?
source="Sampledata.zip:./apache*" action=purchase|stats count AS 購買數量, values(price) AS 單價,sum(price) AS Total by product_name|eval Total="$ ".tostring(Total, "commas")|rename product_name AS 產品名稱| rename Total as 收入
4.有多少購買錯誤發生?
source="Sampledata.zip:./apache*" action=purchase status=503|stats count