📌 相关文章
- Splunk-搜索宏(1)
- Splunk-子搜索(1)
- Splunk-基本搜索
- Splunk-基本搜索(1)
- Splunk-搜索语言(1)
- Splunk-搜索语言
- Splunk-字段搜索
- Splunk-字段搜索(1)
- Splunk-搜索优化
- Splunk-搜索优化(1)
- Splunk-时间范围搜索
- Splunk-时间范围搜索(1)
- Splunk-查找(1)
- Splunk-查找
- Splunk-计算字段(1)
- Splunk-计算字段
- Splunk-源类型(1)
- Splunk-源类型
- Splunk-标签(1)
- Splunk-标签
- Splunk教程
- Splunk教程(1)
- Splunk-应用(1)
- Splunk-应用
- Splunk-删除数据
- Splunk-删除数据(1)
- 讨论Splunk
- 讨论Splunk(1)
- Splunk-环境
📜 Splunk-子搜索
📅 最后修改于: 2020-11-29 08:10:54 🧑 作者: Mango
当辅助查询或内部查询的结果是主查询或外部查询的输入时,子搜索是常规搜索的特殊情况。对于SQL语言,它类似于子查询的概念。在Splunk中,主查询应返回一个结果,该结果可以输入到外部查询或辅助查询中。
当搜索包含子搜索时,将首先运行子搜索。子搜索必须在主搜索中括在方括号中。
例
我们考虑从Web日志中查找具有最大字节大小的文件的情况。但这可能每天都有所不同。然后,我们只想查找文件大小等于最大大小并且是星期日的那些事件。
创建子搜索
我们首先创建子搜索以找到最大文件大小。我们使用Stat max函数,并将名为bytes的字段作为参数。这标识了运行搜索查询的时间范围内文件的最大大小。
下图显示了搜索和此子搜索的结果-
添加子搜索
接下来,通过将子搜索放在方括号内,将子搜索查询添加到主查询或外部查询中。还将搜索子句添加到子搜索查询中。
如我们所见,结果仅包含文件大小等于通过考虑所有事件而找到的最大文件大小的事件,事件日为星期日。