Splunk具有强大的搜索功能，使您可以搜索已摄取的整个数据集。可通过名为“搜索和报告”的应用程序访问此功能，登录到Web界面后即可在左侧栏中看到该功能。

单击搜索和报告应用程序后，我们会看到一个搜索框，我们可以在其中搜索上一章中上传的日志数据。

我们以如下所示的格式键入主机名，然后单击最右上角显示的搜索图标。这使我们可以突出显示搜索词。

组合搜索词

我们可以将搜索词条依次写起来，但将用户搜索字符串双引号括起来，从而组合搜索词条。

使用通配符

我们可以在搜索选项中将通配符与AND / OR运算符结合使用。在下面的搜索中，我们得到的结果是，日志文件中包含“失败”，“失败”，“失败”等术语，并在同一行中包含“口令”一词。

优化搜索结果

我们可以通过选择一个字符串并将其添加到搜索中来进一步优化搜索结果。在下面的示例中，我们单击字符串3351并选择选项Add to Search 。

将3351添加到搜索词后，我们得到以下结果，该结果仅显示其中包含3351的日志中的那些行。还要标记我们完善搜索时搜索结果的时间线是如何变化的。