搜索宏是搜索处理语言(SPL)的可重用块，您可以将其插入其他搜索中。当您要对数据集中的不同部分或值动态使用相同的搜索逻辑时，将使用它们。他们可以动态接受参数，搜索结果将根据新值进行更新。

宏创作

要创建搜索宏，请转到设置→高级搜索→搜索宏→添加新内容。这将显示以下屏幕，我们开始创建宏。

宏观场景

我们想从web_applications日志中显示有关文件大小的各种统计信息。统计信息是使用日志中的字节字段显示的文件大小的最大值，最小值和平均值。结果应显示日志中列出的每个文件的这些统计信息。

因此，这里的统计信息本质上是动态的。 stats函数的名称将作为参数传递给宏。

定义宏

接下来，我们通过设置以下屏幕所示的各种属性来定义宏。宏的名称包含(1)，表示在搜索字符串使用宏时，有一个参数要传递给宏。 fun是在搜索查询中执行期间将传递给宏的参数。

使用宏

要使用宏，我们将其作为搜索字符串的一部分。在为参数传递不同的值时，我们看到了预期的不同结果。

考虑找到文件的平均大小(以字节为单位)。我们将avg作为参数传递，并得到如下所示的结果。该宏已作为搜索查询的一部分保留在`号下。

同样，如果我们希望日志中存在的每个文件的最大文件大小，则可以使用max作为参数。结果如下图所示。