L’objectif de ce document est de montrer comment faire les recherches et les filtres dans Splunk en utilisant le langage (SPL) de recherche Splunk.
Une vidéo pas à pas de ce tutoriel est aussi disponible sur notre chaîne YouTube.
Le premier pas de recherche dans Splunk
Avant de commencer la recherche, il faut paramétrer le mode recherche. Tel que, il existe trois modes de recherches :
- Rapide: mis en amont la vitesse de la recherche en limitant l’exhaustivité
- Intelligent: c’est l’équilibre entre la vitesse et l’exhaustivité
- Verbeux: renvoie autant d’informations sur les événements avec des recherches plus lentes
Cliquez sur Mode Intelligent
Puis, Cliquez sur la liste déroulante de la barre de recherche pour choisir le Time Range de la recherche.
Cliquez sur Tout le Temps
Note : Vous pouvez choisir les différentes Time Range qui sont spécifiés dans la liste déroulante.
Vous pouvez également configurer un nouveau Time qui n’apparaît pas dans le choix de la liste en cliquant sur Avancé
S : pour seconde | m : pour minutes | d : pour jours
Dans la barre de recherche :
- Tapez host=db_commandes pour chercher et afficher les événements des commandes indexées
Le résultat des 301 événements s’affiche comme ci – dessous :
Cliquez sur la liste déroulante ci – dessous pour changer le mode d’affichage
Ci – dessous, le mode d’affichage en Liste
Un clic sur l’un des champs Intéressants permet d’afficher des différentes statistiques du champ (exemple : max, min …etc).
Vous pouvez ajouter les champs dans la barre de recherche. Voici un exemple d’un clic sur le champ Qte :
Un clic sur la valeur 5 permet d’ajouter une condition de filtre dans la barre de recherche
Ci – dessous, le résultat d’affichage après le clic de la valeur 5 :
Ajout des commandes dans la barre de recherche dans Splunk
Pour effectuer une recherche correcte :
- Il faut savoir ce que vous recherchez, que voulez-vous faire avec les résultats, comment voulez-vous calculer les résultats, sur quels attributs voulez-vous appliquer la recherche et enfin comment grouper vos données.
- Dans cet exemple, nous allons exécuter une commande Splunk qui permet d’afficher les 20 TOP articles achetés avec le Total de chaque article :
Ci – dessous, la commande stats qui utilise la fonction count pour grouper le nombre total de chaque Qte
Ci – dessous, la commande qui permet d’afficher la moyenne des montants pour chaque article et trier les résultats pour afficher dans l’ordre les articles ayant la moyenne supérieure.
Historique de recherche
Vous pouvez afficher l’historique vos recherche effectuées cliquant sur Search & Reporting
La fenêtre qui s’affiche comme ci – dessous :
- Cliquez sur Historique de recherche
Vous pouvez accéder à l’historique de vos recherches et effectuer des actions comme Ajouter à la recherche
Vous savez comment faire une simple recherche avec Splunk.
D’autres tutoriels Splunk sont aussi disponibles sur le blog :
- Comment obtenir et intégrer des données CSV dans Splunk ?
- Comment créer un dashboard simple avec Splunk ?
Une vidéo pas à pas de ce tutoriel est aussi disponible sur notre chaîne YouTube.
Depuis plus de 15 ans maintenant, je travaille sur des sujets liés à la BI et à l’amélioration des processus. J’ai participé à un grand nombre de projets en tant que leader technique sur de nombreuses technologies. De nature pédagogue, je donne également des cours de langage de programmation.
N’hésitez pas à me faire un retour sur cet article ou à me contacter sur LinkedIn pour échanger sur ces sujets!
Alexis
Laisser un commentaire