在搜索查询的结果中，有时我们得到的值可能无法清楚地传达该字段的含义。例如，我们可能会得到一个字段，其中列出了产品ID的值作为数字结果。这些数字不会让我们知道它是哪种产品。但是，如果我们列出产品名称以及产品ID，则可以为我们提供一份很好的报告，让我们了解搜索结果的含义。

使用来自两个数据集的相等值，将一个字段的值链接到另一数据集中具有相同名称的字段的过程称为查找过程。好处是，我们可以从两个不同的数据集中检索相关值。

创建和使用查找文件的步骤

为了在数据集中成功创建查找字段，我们需要执行以下步骤-

创建查找文件

我们将具有host的数据集视为web_application，并查看productid字段。该字段只是一个数字，但是我们希望产品名称能够反映在我们的查询结果集中。我们创建具有以下详细信息的查找文件。在这里，我们将第一个字段的名称保留为productid ，该名称与我们将要从数据集中使用的字段相同。

productId,productdescription
WC-SH-G04,Tablets
DB-SG-G01,PCs
DC-SG-G02,MobilePhones
SC-MG-G10,Wearables 
WSC-MG-G10,Usb Light
GT-SC-G01,Battery
SF-BVS-G01,Hard Drive

添加查找文件

接下来，我们通过使用“设置”屏幕将查找文件添加到Splunk环境中，如下所示-

选择查找后，我们将看到一个用于创建和配置查找的屏幕。我们选择查找表文件，如下所示。

我们浏览选择文件productidvals.csv作为要上传的查找文件，然后选择search作为目标应用程序。我们还保留相同的目标文件名。

单击保存按钮后，该文件将作为查找文件保存到Splunk存储库。

创建查找定义

为了使搜索查询能够从上面刚刚上传的查找文件中查找值，我们需要创建一个查找定义。我们通过再次转到设置→查找→查找定义→添加新来完成此操作。

接下来，我们通过转到Settings→Lookups→Lookup Definition检查添加的查找定义。

选择查询字段

接下来，我们需要为搜索查询选择查找字段。这是我转到“新搜索”→“所有字段”完成的。然后选中productid框，该框也会自动从查找文件中添加productdescription字段。

使用查找字段

现在，我们在搜索查询中使用“查找”字段，如下所示。可视化结果显示带有productdescription字段而不是productid的结果。