使用字段查找对照(field lookup)
字段查找对照的意思是我们可以通过去查找Splunk所导入数据之外的csv文件来把数据包含的字段信息进行扩展,从而获得更多的内容
例如,在上面的例子中,product_id的内容对我们来说并不直观,我们并不知道这些产品代码具体是什么? 这些信息并不存在于日志中
但是我们可以通过外部查找的方式获得。
我们先从官网下载一个product_lookup.csv.zip文件.下载并解压缩
@url http://docs.splunk.com/images/c/cb/Product_lookup.csv.zip
进入对照表管理
在splunk页面右上角点击"管理", 在管理页面选择"查找"
点击"查找",进入对照表管理页面
上传对照表文件
在"查找表文件"一行点击新增,选择要上传的"product_lookup.csv,在"目标文件名称中"也填入product_lookup_csv,保存完成即可
查找表定义
在"查找表定义"一行选择新增,按照下图进行定义:
设置自动查询
在"自动查找"一行选择新增,按照下图进行定义
完成上述查找定义后,返回search应用,搜索sourcetype = access_*,编辑选择的字段,这时我们可以看到会增加product_name,price字段
更多搜索实例
1.页面总浏览量是多少?
source="Sampledata.zip:./apache*" method=GET | stats count AS 页面浏览数量
2.页面浏览量和实际购买数字差别比例有多少?
source="Sampledata.zip:./apache*" method=GET | stats count AS Views, count(eval(action="purchase")) AS Purchases|eval percentage=round( 100-(Purchases/Views*100)) | rename views AS 浏览数量 | rename Purchases AS 购买数量| rename percentage
as "%差别比例"
3.页面所销售的商品名称,数量和收入是多少?
source="Sampledata.zip:./apache*" action=purchase|stats count AS 购买数量, values(price) AS 单价,sum(price) AS Total by product_name|eval Total="$ ".tostring(Total, "commas")|rename product_name AS 产品名称| rename Total as 收入
4.有多少购买错误发生?
source="Sampledata.zip:./apache*" action=purchase status=503|stats count
