Splunk® Enterprise 6.5.0

搜尋教學搜尋教學產⽣時間：2016/9/26 下午 10:27

Copyright (c) 2017 Splunk Inc. All Rights Reserved

33

33579

11111314

161619

2222253034

373743

454549

56565762

6565

Table of Contents簡介簡介

關於搜尋教學第第 1 部分：開始使⽤部分：開始使⽤

使⽤本教學的準備⼯作安裝 Splunk Enterprise啟動 Splunk Web巡覽 Splunk Web

第第 2 部分：上傳教學資料部分：上傳教學資料關於上傳資料教學資料中包含什麼內容？上傳教學資料

第第 3 部分：使⽤部分：使⽤ Splunk 搜尋應⽤套件搜尋應⽤套件探索搜尋檢視指定時間範圍

第第 4 部分：搜尋教學資料部分：搜尋教學資料基本搜尋與搜尋結果使⽤欄位進⾏搜尋使⽤搜尋語⾔使⽤⼦搜尋

第第 5 部分：使⽤查閱豐富事件部分：使⽤查閱豐富事件啟⽤欄位查閱使⽤欄位查閱進⾏搜尋

第第 6 部分：建⽴報告與圖表部分：建⽴報告與圖表儲存及共⽤報告搜尋、圖表與報告範例

第第 7 部分：建⽴儀表板部分：建⽴儀表板關於儀表板建⽴儀表板和⾯板將更多⾯板新增⾄儀表板

其他資源其他資源其他資源

簡介簡介關於搜尋教學關於搜尋教學[搜尋與報告] 應⽤系統 ([搜尋] 應⽤套件) 是使⽤ Splunk 軟體執⾏搜尋、儲存報告和建⽴儀表板的主要介⾯。此搜尋教學是專為 Splunk 平台和 [搜尋] 應⽤套件的新使⽤者所撰寫。您可以使⽤本教學學習如何使⽤ [搜尋] 應⽤套件。本教學會詳細說明 Splunk Enterprise 與 Splunk Cloud 之間的任何差異。是否已擁有對是否已擁有對 Splunk 軟體的存取權？軟體的存取權？在本教學中，請使⽤ Splunk 軟體的免費試⽤版。為什麼？因為本教學使⽤特定資料集，以確保搜尋結果與您學習之功能的⼀致性。在本教學中，您會將本教學特定資料上傳⾄ Splunk 平台。您可能沒有在⽣產、⼯作環境中上傳資料的權限。此外，使⽤軟體的免費試⽤版可確保教學資料不會與您的⼯作資料混合。下載 Splunk Enterprise 或 Splunk Cloud 之免費試⽤版的步驟在教學中有所說明。本教學⼿冊的內容為何？本教學⼿冊的內容為何？您將學習如何使⽤ [搜尋] 應⽤套件將資料新增⾄ Splunk 部署、搜尋資料、將搜尋儲存為報告，以及建⽴儀表板。如果您是 [搜尋] 應⽤套件的新⼿，建議您從本教學開始。如何使⽤本教學如何使⽤本教學搜尋教學的每⼀部分都建⽴在上⼀部分的基礎之上。例如，您在第 5 部分中建⽴的搜尋可⽤於在第 7 部分中建⽴報告與圖表。請不要略過任何部分，這⼀點很重要。

第第 1 部分：開始使⽤部分：開始使⽤第第 2 部分：上傳教學資料部分：上傳教學資料第第 3 部分：使⽤部分：使⽤ Splunk 搜尋應⽤套件搜尋應⽤套件第第 4 部分：搜尋教學資料部分：搜尋教學資料第第 5 部分：使⽤查閱豐富事件部分：使⽤查閱豐富事件第第 6 部分：建⽴報告與圖表部分：建⽴報告與圖表第第 7 部分：建⽴儀表板部分：建⽴儀表板

使⽤教學的使⽤教學的 PDF 版版您可以在網⾴瀏覽器中，直接從此線上教學將搜尋字串或規則運算式複製並貼上⾄ [搜尋與報告] 應⽤套件。請勿直接從電⼦ PDF 複製搜尋字串或規則運算式並貼上⾄ [搜尋] 應⽤套件。從 PDF 貼上資料會因為包含在 PDF 格式中的隱藏字元⽽導致搜尋中發⽣錯誤。另請參閱章節另請參閱章節本教學中⼤多數主題的結尾都是稱為另請參閱另請參閱的章節。這些章節包含與該主題中所討論之資訊相關的 Splunk ⽂件的連結。其他資源其他資源如需有關下列內容的資訊，請參閱本教學結尾處的其他資源：

Splunk 社群Splunk ⽂件的連結提供意⾒反應

第第 1 部分：開始使⽤部分：開始使⽤使⽤本教學的準備⼯作使⽤本教學的準備⼯作您需要建⽴ Splunk.com 帳戶、存取 Splunk 軟體免費試⽤版，以及下載教學資料檔案。根據您使⽤的 Splunk 平台，可能會有其他先決條件。

3

可能會有其他先決條件。建⽴建⽴ Splunk.com 帳戶帳戶您需要 Splunk.com 帳戶才能下載免費試⽤版 Splunk 軟體。如果您還沒有 Splunk.com 帳戶，則需要建⽴帳戶。如果您已經有帳戶，則需要登⼊該帳戶。

1. 前往 http://www.splunk.com/。2. 建⽴帳戶，或登⼊現有帳戶。

若要建⽴帳戶，請按⼀下 [我的帳戶我的帳戶 ] > [註冊註冊 ]。輸⼊註冊資訊。若要登⼊現有帳戶，請按⼀下 [我的帳戶我的帳戶 ] > [登⼊登⼊ ]。

系統需求系統需求確保您的電腦符合系統需求。

Splunk Enterprise

您可以在 Linux、Windows 與 Mac OS 中使⽤本教學。在本教學中，您的電腦必須符合此表格中所列的規格。需求需求 建議⽀援的最⼩硬體需求建議⽀援的最⼩硬體需求

⾮ Windows 平台 1x1.4GHz CPU，1GB RAM

Windows 平台 Pentium 4 或相當於 2GHz，2GB RAM

網⾴瀏覽器 Splunk Enterprise 6.0 及更新版本⽀援最新版本的 Chrome、Firefox 與 Safari 瀏覽器

Splunk Cloud

您必須有網⾴瀏覽器。Splunk Cloud ⽀援最新版本的 Chrome、Firefox 與 Safari 瀏覽器存取存取 Splunk 軟體的試⽤版軟體的試⽤版在本教學中，請使⽤軟體的最新版本。Splunk Enterprise

如果距離您下載 Splunk 試⽤版軟體已有⼀段時間，請再次下載試⽤版軟體。試⽤版授權有可能轉換為 Free 授權。Free 授權有⼀些限制。請參閱＜Splunk 試⽤版授權＞以取得更多資訊。

1. 識別您要與教學搭配使⽤的安裝程式。作業系作業系統統 可⽤安裝程式可⽤安裝程式 在本教學中在本教學中

Linux3 個安裝程式。適⽤於 RedHat 的 RPM 下載、適⽤於 Debian Linux的 DEB 套件，以及 TAR 檔案安裝程式。

使⽤任何安裝程式。

MacOSX

2 個安裝程式。DMG 套件與 TAR 檔案安裝程式。 使⽤ DMG 封裝圖形安裝程式。

Windows 2 個安裝程式。MSI 檔案與壓縮的 ZIP 檔案。 使⽤ MSI 檔案圖形安裝程式。

2. 下載 Splunk Enterprise 的免費試⽤版安裝程式。3. 接受授權合約並按⼀下 [⽴即開始您的下載⽴即開始您的下載 ]。

Splunk Cloud

在本教學中，安裝 Splunk Cloud 試⽤版。1. 啟動試⽤版 Splunk Cloud。2. 遵循網站上的提⽰。您的試⽤版會在瀏覽器視窗中開啟。

此外，會向您傳送電⼦郵件，其中包含 Splunk Cloud URL 的相關資訊。下載教學資料檔案下載教學資料檔案

4

本教學使⽤虛擬遊戲商店，稱為 Buttercup Games，且在線上商店銷售遊戲與相關項⽬。您必須下載多個資料檔案才能與教學搭配使⽤。資料檔案包含網站存取記錄檔、安全格式記錄檔、銷售記錄檔，以及CSV 檔案格式的價格清單。

1. 下載 tutorialdata.zip 檔案。請勿解壓縮 tutorialdata.zip 檔案。2. 下載 Prices.csv.zip 檔案。3. 在下載位置中解壓縮 Prices.csv.zip 檔案。

Splunk 試⽤版授權試⽤版授權試⽤版授權有時間限制與資料量限制。Splunk Enterprise

在第⼀次下載 Splunk Enterprise 時，您會取得為期 60 天的 Enterprise 試⽤版授權。此 Enterprise 試⽤版授權包含所有功能，但會限制您每天可以檢索的資料量。每天限制為 500MB。60 天之後，Enterprise 試⽤版授權會轉換為免費版授權，Free 授權與⼀些功能 (例如驗證與警⽰) 會停⽤。Free 授權也包含每天 500MB 的索引量，但沒有到期⽇。

Splunk Cloud

當您啟動 Splunk Cloud 試⽤版時，便可擁有為期 15 天的 Splunk Cloud 存取權。此 Splunk Cloud 試⽤版授權包含所有功能，但會限制您每天可以檢索的資料量。該限制為每天 5GB，且保留資料上限為 50GB。

接下來的步驟接下來的步驟接下來的步驟取決於您使⽤的 Splunk 產品。Splunk Enterprise

您必須安裝 Splunk Enterprise。Splunk Cloud

如果您看到歡迎使⽤ Splunk Free Cloud 試⽤版並邀請您 [在此處放下您的資料檔案在此處放下您的資料檔案 ] 的視窗，請關閉該視窗。您將在第 3 部分上傳教學資料。現在，請前往巡覽 Splunk Web。

另請參閱另請參閱《安裝⼿冊》中的＜系統需求＞《管理員⼿冊》中的＜Splunk 授權類型＞

安裝安裝 Splunk Enterprise

您可以在下列作業系統中安裝 Splunk Enterprise。Windows 安裝指⽰ Mac OS X 安裝指⽰ Linux 安裝指⽰

對於其他的安裝程式或其他⽀援作業系統，請參閱該平台的逐步安裝指⽰。安裝 Splunk Enterprise 後，您便能繼續巡覽 Splunk Web。Windows 安裝指⽰安裝指⽰1.巡覽⾄安裝程式所在的資料夾或⽬錄。1.按兩下 splunk.msi 檔案，啟動安裝程式。2.在 [歡迎] ⾯板中，按⼀下 [下⼀步]。3.閱讀授權合約並選擇 [我接受授權合約中的條款] 核取⽅塊。4.按⼀下 [下⼀步下⼀步 ]。

5

5.在 [客戶資訊客戶資訊 ] 中，輸⼊要求的詳細資訊，然後按⼀下 [下⼀步下⼀步 ]。6.在 [⽬的地資料夾] ⾯板中，按⼀下 [變更變更 ] 指定其他位置，或按⼀下 [下⼀步下⼀步 ] 接受預設值。

依預設，會將 Splunk Enterprise 安裝到 \Program Files\Splunk ⽬錄中。7.在 [登⼊資訊] ⾯板中，選擇 [本機系統使⽤者本機系統使⽤者 ]，然後按⼀下 [下⼀步下⼀步 ]。

如需其他使⽤者選項，請參閱《安裝⼿冊》中＜在 Windows 上安裝＞的指⽰。8.指定使⽤者後，系統便會出現預先安裝摘要⾯板。按⼀下 [安裝安裝 ]。9.在 [安裝完成] ⾯板中，選擇 [使⽤使⽤ Splunk 啟動瀏覽器啟動瀏覽器 ] 與 [建⽴開始功能表捷徑建⽴開始功能表捷徑 ] 核取⽅塊。10.按⼀下 [完成完成 ]。

安裝完成，Splunk Enterprise 會啟動，且 Splunk Web 會在瀏覽器視窗中啟動。繼續教學的巡覽 Splunk Web。Mac OS X 安裝指⽰安裝指⽰1.巡覽⾄安裝程式所在的資料夾或⽬錄。2.按兩下 DMG 檔案。

包含 splunk.pkg 的 [尋找⼯具] 視窗隨即開啟。3.按兩下 splunk.pkg，啟動安裝程式。4.[簡介] ⾯板會列出版本與著作權資訊。按⼀下 [繼續繼續 ]。5.在 [選擇⽬的地] ⾯板中，選擇安裝 Splunk 的位置。

若要安裝在預設⽬錄 (/Applications/splunk) 中，請按⼀下硬碟圖⽰。若要選擇其他位置，請按⼀下 [選擇資料夾選擇資料夾 ]。

6.按⼀下 [繼續繼續 ]。7.在預先安裝摘要中，檢閱安裝設定。按⼀下 [安裝安裝 ]。8.安裝完成後，按⼀下 [完成完成 ]。

安裝程式會在桌⾯上建⽴捷徑。10.前往啟動 Splunk Enterprise 及啟動 Splunk Web。Linux 安裝指⽰安裝指⽰Splunk Enterprise 提供三種 Linux 安裝程式選項：RPM、DEB 或 .tar 檔案。先決條件先決條件您必須具有命令列介⾯ (CLI) 的存取權限。當您輸⼊安裝命令時，請以您下載之 Splunk Enterprise 安裝程式的檔案名稱取代 splunk_package_name。安裝安裝 Splunk Enterprise RPM

您可以在預設⽬錄 /opt/splunk 或其他⽬錄中安裝 Splunk Enterprise RPM。1.使⽤命令列介⾯安裝 Splunk Enterprise。

若要安裝⾄預設⽬錄，請輸⼊ rpm -i splunk_package_name.rpm。若要安裝⾄其他⽬錄，請將 --prefix 旗標新增⾄安裝命令。

輸⼊ rpm -i --prefix=/opt/new_directory splunk_package_name.rpm。2.前往啟動 Splunk Enterprise 及啟動 Splunk Web。安裝安裝 Splunk Enterprise DEB 套件套件您只能將 Splunk Enterprise DEB 安裝⾄ /opt/splunk ⽬錄。

6

1.在命令列介⾯中，輸⼊ dpkg -i splunk_package_name.deb。2.前往啟動 Splunk Enterprise 及啟動 Splunk Web。安裝安裝 Splunk Enterprise tar 檔案檔案針對 tar 檔案，預設安裝⽬錄為⽬前⼯作⽬錄中的 splunk。您可以使⽤ -C 選項，將 Splunk Enterprise 安裝⾄特定⽬錄，例如 /opt/splunk。1.使⽤ tar 命令將檔案解壓縮⾄特定⽬錄。若要解壓縮⾄ /opt/splunk ⽬錄，請在命令列介⾯中輸⼊ tar xvzf splunk_package_name.tgz -C /opt。2.前往啟動 Splunk Enterprise 及啟動 Splunk Web。接下來的步驟接下來的步驟啟動 Splunk Enterprise 及啟動 Splunk Web

另請參閱另請參閱《安裝⼿冊》中的＜在 Linux 上安裝＞。

啟動啟動 Splunk Web

下載與安裝軟體後，您必須啟動 Splunk Enterprise，然後啟動 Splunk Web。在 Windows 上啟動 Splunk Enterprise在 Mac OS X 上啟動 Splunk Enterprise在 Linux 上啟動 Splunk Enterprise

在在 Windows 上啟動上啟動 Splunk Enterprise

完成 Windows 安裝之後，Splunk Enterprise 將啟動，並在⽀援的瀏覽器中開啟 Splunk Web。1. 若未啟動 Splunk Enterprise，請使⽤下列其中⼀個選項予以啟動。

從 [開始開始 ] 功能表啟動 Splunk Enterprise。使⽤ Windows 服務管理員啟動 Splunk Enterprise。開啟 cmd 視窗，前往 \Program Files\Splunk\bin，並輸⼊ splunk start。

2. 前往登⼊ Splunk Web。在在 Mac OS X 上啟動上啟動 Splunk Enterprise

在 Mac OS X 中，您可以從 [尋找⼯具] 啟動 Splunk Enterprise。1. 按兩下桌⾯上的 Splunk 圖⽰可啟動稱為「Splunk ⼩幫⼿」的 Splunk 協助程式應⽤系統。

您初次執⾏協助程式應⽤系統時，它將提醒您必須執⾏初始化。2. 按⼀下 [確定確定 ] 以讓 Splunk Enterprise 初始化並設定試⽤版授權。3. 協助程式應⽤系統開啟之後，選擇 [啟動並顯⽰啟動並顯⽰ Splunk]。此選項可啟動 Splunk Enterprise 並引導您的網⾴瀏覽器開啟 Splunk Web 的⾴⾯。

您也可以使⽤協助程式應⽤系統停⽌ Splunk Enterprise。4. 前往登⼊ Splunk Web。

在在 Linux 上啟動上啟動 Splunk Enterprise

安裝 Splunk Enterprise 之後，請使⽤ Splunk 命令列介⾯啟動 Splunk Enterprise。先決條件先決條件您需要瞭解如何存取命令列介⾯。請參閱《管理員⼿冊》中的＜關於命令列介⾯＞。步驟步驟

1. 為頂層安裝⽬錄新增 SPLUNK_HOME 環境變數，並將 $SPLUNK_HOME/bin 新增⾄殼層路徑來簡化命令列介⾯存取。若您安裝在 Linux 的預設位置，則您的匯出路徑如下所⽰：

7

# export SPLUNK_HOME=/opt/splunk

# export PATH=$SPLUNK_HOME/bin:$PATH

如果安裝在其他位置，請使⽤ SPLUNK_HOME 環境變數的路徑。2. 在命令列介⾯中，若要啟動 Splunk Enterprise，請輸⼊ $SPLUNK_HOME/bin/splunk start3. 接受 Splunk Enterprise 授權。

在您執⾏ start 命令後，Splunk Enterprise 會顯⽰授權合約，並提⽰您接受授權才能繼續啟動序列。疑難排解：疑難排解：如果您在啟動 Splunk Enterprise 時遇到問題，請參閱《安裝⼿冊》中的＜第⼀次啟動Splunk Enterprise＞。

4. 前往登⼊ Splunk Web。實⽤的命令列介⾯命令實⽤的命令列介⾯命令如果您需要停⽌、重新啟動或檢查 Splunk Enterprise 伺服器的狀態，請使⽤以下命令列介⾯命令：

$ splunk stop

$ splunk restart

$ splunk status

登⼊登⼊ Splunk Web

在啟動序列的最後會顯⽰⼀則訊息，告訴您可到哪裡存取 Splunk Web：

The Splunk Web interface is at http://localhost:8000

Splunk Web 預設在安裝它的主機連接埠 8000 上執⾏。如果您在本機電腦上使⽤ Splunk Enterprise，存取 SplunkWeb 的 URL 為 http://localhost:8000。使⽤使⽤ Enterprise 授權授權如果使⽤ Enterprise 授權，當您第⼀次啟動 Splunk Enterprise 時會出現此登⼊畫⾯。

請遵循螢幕指⽰以使⽤預設認證進⾏驗證。

username: admin

password: changeme

當您使⽤預設密碼登⼊時，您可以建⽴密碼，或按⼀下 [略過略過 ] 繼續使⽤預設密碼。您看到的第⼀⾴是 [Splunk 主⽬錄]。使⽤使⽤ Free 授權授權如果您使⽤ Free 授權，則不需驗證便可使⽤ Splunk Enterprise。當您啟動 Splunk Enterprise 時，不會看到此登⼊畫⾯。⽽是直接移⾄ [Splunk 主⽬錄] 或設為帳戶預設應⽤套件的任何項⽬。接下來的步驟接下來的步驟

8

您已下載教學資料檔案，且已安裝 Splunk Enterprise。繼續巡覽 Splunk Web。

巡覽巡覽 Splunk Web

Splunk Web 是搜尋、問題調查、報告結果與管理 Splunk 平台部署的主要介⾯。關於關於 Splunk 主⽬錄主⽬錄[Splunk 主⽬錄] 是 Splunk Web 的初始⾴⾯。[Splunk 主⽬錄] 為互動式⼊⼝網站，可讓您存取可從此 SplunkEnterprise 執⾏個體存取的資料和應⽤系統。[Splunk 主⽬錄] ⾴⾯的主要部分是 [應⽤套件] ⾯板、[探索 Splunk] ⾯板與 Splunk 列。此螢幕影像顯⽰ Splunk Enterprise 的 [Splunk 主⽬錄] ⾴⾯。Splunk Cloud 擁有類似的 [主⽬錄] ⾴⾯。

應⽤套件⾯板應⽤套件⾯板[應⽤套件應⽤套件 ] ⾯板會列出安裝在您 Splunk 執⾏個體上的應⽤系統。清單只會顯⽰您有權檢視的應⽤套件。當您第⼀次開啟 Splunk Web 時，會在 [應⽤套件] ⾯板中看到 [搜尋與報告搜尋與報告 ]。[搜尋與報告搜尋與報告 ] 應⽤套件有時簡稱為 [搜搜尋尋 ] 應⽤套件。如果您的電腦中安裝了其他應⽤系統，可能會有其他應⽤套件列於 [應⽤套件] ⾯板中。探索探索 Splunk ⾯板⾯板[探索 Splunk] ⾯板包含您可以取得說明之⾴⾯的連結。Splunk Enterprise

您可以進⾏產品導覽、新增資料、瀏覽新應⽤套件，或存取⽂件。Splunk Cloud

您可以進⾏產品導覽，或存取最常使⽤的⽂件。Splunk 列列Splunk 列會顯⽰在 Splunk Web 中的每個⾴⾯上。您可以使⽤此列來切換應⽤套件、管理及編輯 Splunk 平台設定、檢視系統層級訊息並監控搜尋⼯作的進度。

1. 按⼀下 [搜尋與報告搜尋與報告 ]。當您處於應⽤套件中時，會將 [應⽤系統] 功能表新增⾄ Splunk 列。使⽤此功能表可在應⽤套件之間切換。Splunk Enterprise

下圖顯⽰ Splunk Enterprise 中的 Splunk 列。

Splunk Cloud下圖顯⽰ Splunk Cloud 中的 Splunk 列。

9

我們將詳細探索 [搜尋] 應⽤套件。現在，讓我們返回 [Splunk 主⽬錄]。2. 按⼀下 Splunk 列上的 Splunk 標誌。

無論您在應⽤套件中的什麼位置，都可以隨時按⼀下 Splunk 標誌，來返回 [Splunk 主⽬錄]。有關有關 Splunk 列的更多資訊列的更多資訊Splunk 列有多個功能表。讓我們來探索⼀下其中⼀些功能表。帳戶功能表帳戶功能表使⽤ [帳戶] 功能表可編輯帳戶設定，例如變更您的密碼。Splunk Enterprise

現在，[帳戶] 功能表會顯⽰ [管理員管理員 ]，但此功能表是您的 [帳戶帳戶 ] 功能表。它最初會顯⽰ [管理員管理員 ]，因為這是新安裝的預設使⽤者名稱。

1. 選擇 [管理員管理員 ] > [帳戶設定帳戶設定 ]。

2. 在 [全名全名 ] 欄位中，輸⼊您的名字與姓⽒。在本教學中，我們不會變更其他設定。

3. 按⼀下 [儲存儲存 ]。4. 按⼀下 Splunk 標誌，返回 [Splunk 主⽬錄]。

Splunk Cloud[帳戶] 功能表會顯⽰您的名稱。

1. 選擇 [Your_Name] > [使⽤者設定使⽤者設定 ]。

2. [全名全名 ] 欄位應該會列出您的名字與姓⽒。您可以變更姓名的順序，或輸⼊暱稱。在本教學中，我們不會變更其他設定。

3. 按⼀下 [儲存儲存 ]。4. 按⼀下 Splunk 標誌，返回 [Splunk 主⽬錄]。

訊息功能表訊息功能表所有系統層級的錯誤訊息都會列在 [訊息訊息 ] 功能表。當您有新訊息可檢閱時，通知會在 [訊息訊息 ] 功能表旁以數字顯⽰。通知是⼀個數字，表⽰您擁有的訊息數。

10

協助協助您⽤來取得 Splunk 軟體說明的功能表取決於您使⽤的 Splunk 平台。Splunk Enterprise

[說明說明 ] 功能表包含產品版本資訊、教學、Splunk 回答及 [Splunk ⽀援與服務] ⾴⾯的⼀組連結。您也可以搜尋線上⽂件。

Splunk Cloud[服務與⽀援服務與⽀援 ] 功能表包含 Splunk 回答、[⽂件] ⾸⾴及 [Splunk ⽀援與服務] ⾴⾯的⼀組連結。您也可以搜尋線上⽂件。

Splunk 列上的其他功能表列上的其他功能表稍後，您將在教學中探索 Splunk 列上的其他功能表。接下來的步驟接下來的步驟到此完成搜尋教學的第 1 部分。現在，您已熟悉 Splunk Web。請繼續進⾏第 2 部分：上傳教學資料。

第第 2 部分：上傳教學資料部分：上傳教學資料關於上傳資料關於上傳資料當您將資料新增⾄ Splunk 部署時，會處理資料，並將其轉換為您可以檢視、搜尋及分析的⼀系列個別事件。哪些類型的資料？哪些類型的資料？Splunk 平台接受任何類型的資料。尤其是與所有 IT 串流與歷程記錄資料搭配使⽤。資料的來源可以是事件記錄、網站記錄、即時應⽤系統⽇誌記錄、網路摘要、系統度量、變更監控、訊息佇列、封存檔案等。⼀般⽽⾔，會將資料來源分組為下列類別。資料來源資料來源 說明說明檔案與⽬檔案與⽬錄錄 您可能感興趣的⼤多數資料直接來⾃檔案與⽬錄。

網路事件網路事件 Splunk 軟體可以從任何網路連接埠檢索遠端資料，以及從遠端裝置檢索 SNMP 事件。Windows來源來源

Splunk 軟體的 Windows 版本接受廣泛的 Windows 特定輸⼊，其中包括 Windows 事件記錄、Windows 登錄、WMI、Active Directory 及效能監控。

其他來源其他來源 ⽀援其他輸⼊來源，例如從 API 與其他遠端資料介⾯取得資料的 FIFO 佇列與指令式輸⼊。

針對許多資料類型，您都可以直接將資料新增⾄ Splunk 部署。如果 Splunk 軟體未⾃動識別您要使⽤的資料，您需要提供資料的相關資訊，才能進⾏新增。讓我們看⼀下⾃動識別的⼀些資料來源。Splunk Enterprise

1. 在 [探索探索 Splunk Enterprise] ⾯板中按⼀下 [新增資料新增資料 ]。

11

2. 向下捲動並查看常⽤資料來源的清單。您將⽴即回到此視窗。

3. 按⼀下 Splunk 標誌，返回 [Splunk 主⽬錄]。Splunk Cloud

1. 如果顯⽰ [歡迎使⽤歡迎使⽤ Splunk Free Cloud 試⽤版試⽤版 !] 視窗，請關閉該視窗。2. 按⼀下 [設定設定 ] > [新增資料新增資料 ]。

3. 螢幕底部是常⽤資料來源的清單。

您將⽴即回到此視窗。4. 按⼀下 Splunk 標誌，返回 [Splunk 主⽬錄]。

儲存資料的位置在哪裡？儲存資料的位置在哪裡？12

轉換資料的程序稱為索引索引。索引期間，會處理傳⼊資料以啟⽤快速搜尋與分析。處理結果會作為事件事件儲存在索引中。索引是資料的⼀般檔案儲存庫。在本教學中，索引位於您存取 Splunk 部署的電腦中。會將事件以檔案群組形式儲存在索引中，這些檔案分為兩種類別：

原始資料，即您新增⾄ Splunk 部署的資料。原始資料會以壓縮格式儲存。索引檔案，包括指向原始資料的某些中繼資料檔案。

這些檔案存放在⼀組依資齡編列的⽬錄中，稱為索引分集。依預設，會將您的所有資料放在單⼀預先設定索引中。有可⽤於內部⽤途的多個其他索引。接下來的步驟接下來的步驟現在，您已更加熟悉資料來源與索引，接著讓我們來瞭解⼀下您要處理的教學資料。另請參閱另請參閱《輸⼊資料⼿冊》中的＜我的資料在哪裡？＞《輸⼊資料⼿冊》中的＜使⽤應⽤套件將資料加⼊索引＞《管理索引器與索引器叢集》中的＜關於管理索引＞

教學資料中包含什麼內容？教學資料中包含什麼內容？教學資料檔案每天更新，並包含時間戳記為前 7 天的事件。教學資料包含虛擬線上商店 Buttercup Games 多種類型的相關資訊。對於那些不瞭解的⼈⽽⾔，Buttercup 是⼀匹⼩⾺，是 Splunk 的吉祥物。資訊包括來⾃郵件伺服器與 Web 帳戶的 access.log 檔案、secure.log 檔案以及 vendor_sales.log 檔案。access.log 檔案資料檔案資料當您有上百甚⾄上千⾏資料時，access.log 檔案中的原始資料將難以讀取及分析。⽇經⽉累⽽難以管理。Splunk 平台就是這樣應運⽽⽣。

175.44.24.82 - - [22/Sep/2016:18:44:40] "POST /product.screen?productId=WC-SH-A01&JSESSIONID=SD7SL9FF5ADFF5066 HTTP

1.1" 200 3067 "http://www.buttercupgames.com/product.screen?productId=WC-SH-A01" "Mozilla/5.0 (compatible; MSIE 9.0;

Windows NT 6.1; WOW64; Trident/5.0; BOIE9;ENUS)" 307

142.233.200.21 - - [22/Sep/2016:19:20:13] "GET show.do?productId=SF-BVS-01&JSESSIONID=SD6SL8FF4ADFF5218 HTTP 1.1"

404 1329 "http://www.buttercupgames.com/cart.do?action=purchase&itemId=EST-13" "Mozilla/5.0 (compatible;

Googlebot/2.1; +http://www.google.com/bot.html)" 674

secure.log 檔案資料檔案資料secure.log 檔案中的原始資料看起來如下列：

Thu Sep 22 2016 00:15:06 mailsv1 sshd[60445]: pam_unix(sshd:session): session opened for user djohnson by (uid=0)

Thu Sep 22 2016 00:15:06 mailsv1 sshd[3759]: Failed password for nagios from 194.8.74.23 port 3769 ssh2

Thu Sep 22 2016 00:15:08 mailsv1 sshd[5276]: Failed password for invalid user appserver from 194.8.74.23 port 3351

vendor_sales.log 檔案資料檔案資料vendor_sales.log 檔案中的原始資料看起來如下列：

[22/Sep/2016:18:23:07] VendorID=5037 Code=C AcctID=5317605039838520

[22/Sep/2016:18:23:22] VendorID=9108 Code=A AcctID=2194850084423218

[22/Sep/2016:18:23:49] VendorID=1285 Code=F AcctID=8560077531775179

[22/Sep/2016:18:23:59] VendorID=1153 Code=D AcctID=4433276107716482

接下來的步驟接下來的步驟讓我們將教學資料上傳⾄ Splunk 平台。

13

上傳教學資料上傳教學資料本教學使⽤專為向您顯⽰產品中功能⽽設計的⼀組資料。使⽤教學資料可確保您的搜尋結果與教學中的步驟⼀致。先決條件先決條件您的電腦中必須有教學資料檔案。使⽤新增資料精靈使⽤新增資料精靈

1. 如果您未進⼊ [Splunk 主⽬錄] ⾴⾯，請按⼀下 Splunk 列上的 Splunk 標誌以前往 [Splunk 主⽬錄]。2. 找到 [新增資料] 圖⽰。

Splunk Enterprisea.在 [探索探索 Splunk Enterprise] ⾯板中，按⼀下 [新增資料新增資料 ]。

Splunk Clouda.如果顯⽰ [歡迎使⽤歡迎使⽤ Splunk Free Cloud 試⽤版試⽤版 !] 視窗，請關閉該視窗。b.按⼀下 [設定設定 ] > [新增資料新增資料 ]。

3. 按⼀下 [上傳上傳 ]。

4. 在 [選擇來源選擇來源 ] 下，按⼀下 [選擇檔案選擇檔案 ]，瀏覽 tutorialdata.zip 檔案。

14

5. 選擇檔案，然後按⼀下 [開啟開啟 ]。註：註：由於您指定了壓縮檔 (Splunk 軟體的資料來源)，因此會變更精靈步驟。已略過設定來源類型設定來源類型步驟。當您載⼊不在壓縮檔中的資料時，您將會設定資料來源類型。

6. 按⼀下 [下⼀步下⼀步 ] 繼續前往 [輸⼊設定輸⼊設定 ]。在 [輸⼊設定輸⼊設定 ] 下，您可以覆寫 [主機]、[來源類型] 與 [索引] 的預設設定。

7. 使⽤⼀部分路徑名稱來將 [主機] 設定修改為指派主機名稱：您選擇的設定取決於您安裝 Splunk 軟體時所在的作業系統。Linux 或 Mac OS X

a. 選擇 [路徑中的區段路徑中的區段 ]。b. 針對區段數，輸⼊ 1。

Windowsa. 選擇 [路徑的規則運算式路徑的規則運算式 ]。b. 輸⼊ \\(.*)\/ 以讓規則運算式從路徑中擷取主機。

8. 按⼀下 [檢閱檢閱 ]，然後檢閱您的輸⼊設定。

9. 按⼀下 [提交提交 ] 以新增資料。

15

10. 若要查看 [搜尋] 應⽤套件中的資料，請按⼀下 [開始搜尋開始搜尋 ]。您可能會看到螢幕詢問您是否需要導覽。您可以使⽤導覽，或按⼀下 [略過略過 ]。[搜尋] 應⽤套件隨即開啟，並⾃動對教學資料來源執⾏搜尋。

成功！結果會確認已檢索 tutorialdata.zip 檔案中的資料，且已建⽴事件。11. 按⼀下 Splunk 標誌，返回 [Splunk 主⽬錄]。接下來的步驟接下來的步驟您已完成搜尋教學的第 2 部分。現在，您已瞭解如何將資料新增⾄ Splunk 平台。接下來，您將開始學習如何搜尋該資料。請繼續進⾏第 3 部分：使⽤ Splunk 搜尋應⽤套件。

第第 3 部分：使⽤部分：使⽤ Splunk 搜尋應⽤套件搜尋應⽤套件探索搜尋檢視探索搜尋檢視在第 2 部分中，您已瞭解 Splunk 平台使⽤的資料類型，並且已將教學資料上傳⾄索引。在第 3 部分中，您將瞭解[搜尋] 應⽤套件。尋找尋找 Splunk 搜尋搜尋

1. 如果您未進⼊ [Splunk 主⽬錄] ⾴⾯，請按⼀下 Splunk 列上的 Splunk 標誌以前往 [Splunk 主⽬錄]。2. 從 [Splunk 主⽬錄]，按⼀下 [應⽤套件應⽤套件 ] ⾯板中的 [搜尋與報告搜尋與報告 ]。

如此會在 [搜尋] 應⽤套件中開啟 [搜尋摘要] 檢視。16

搜尋摘要檢視搜尋摘要檢視[搜尋摘要] 檢視包括您在其他檢視中看到的常⾒元件，其中包括 [應⽤系統] 功能表、Splunk 列、[應⽤套件] 列、[搜尋] 列以及 [時間範圍挑選器]。[搜尋摘要] 檢視特有的元件是 [搜尋] 列下⽅的⾯板：[如何搜尋] ⾯板、[搜尋項⽬] ⾯板以及 [搜尋歷程記錄] ⾯板。

數數字字 元件元件 說明說明

1應⽤系統應⽤系統功能表功能表

在您已安裝的 Splunk 應⽤系統之間切換。會列出⽬前應⽤系統，即 [搜尋與報告] 應⽤套件。此功能表位於 Splunk 列上。

2 Splunk 列列 編輯您的 Splunk 設定，檢視系統層級訊息並取得有關使⽤產品的說明。3應⽤套件應⽤套件列列

在您所處應⽤系統中的不同檢視之間巡覽。針對 [搜尋與報告] 應⽤套件，檢視有：[搜尋]、[樞紐分析]、[報告]、[警⽰] 與 [儀表板]。

4 搜尋列搜尋列 指定您的搜尋準則。5時間範圍時間範圍挑選器挑選器 指定搜尋的期間，例如過去 30 分鐘或昨天。預設值為 [所有時間所有時間 ]。

6 如何搜尋如何搜尋 包含《搜尋教學》與《搜尋⼿冊》的連結。7 搜尋項⽬搜尋項⽬ 顯⽰上傳到此 Splunk 執⾏個體上的資料摘要，以及您擁有其檢視權限之資料的摘要。8搜尋歷程搜尋歷程記錄記錄

檢視您已執⾏之搜尋的清單。搜尋歷程記錄會在您執⾏第⼀個搜尋之後顯⽰。

探索資料摘要資訊探索資料摘要資訊使⽤ [資料摘要] 可檢視資料的相關資訊。

1. 在 [搜尋項⽬搜尋項⽬ ] ⾯板中，按⼀下 [資料摘要資料摘要 ]。[主機]、[來源] 與 [來源類型] 索引標籤代表您資料中的可搜尋欄位。事件的主機是事件來源的網路電腦主機名稱、IP 位址或完整網域名稱。在分散式環境中，您可以使⽤ [主機] 欄位搜尋特定機器中的資料。[主機主機 ] 索引標籤會列出五個主機。這些主機已從您新增⾄ Splunk 平台的 tutorialdata.zip 檔案識別。

17

2. 按⼀下 [來源來源 ] 索引標籤，查看列出的⼋個來源 (全部都是記錄檔)。事件的來源來源是事件來源的檔案或⽬錄路徑、網路連接埠，或指令碼。

3. 按⼀下 [來源類型來源類型 ] 索引標籤。教學資料檔案中的三種來源類型包括：access_combined_wcookie。Apache 網站伺服器記錄檔。secure。安全伺服器記錄檔。vendor_sales。全球銷售廠商資訊。事件的來源類型來源類型通常根據資料的格式，告訴您資料的類型為何。此分類可讓您在多個來源與主機中搜尋相同類型的資料。

讓我們來探索⼀下其中⼀些資料。4. 按⼀下 [來源來源 ] 索引標籤。5. 按⼀下 [tutorialdata.zip:./www1/access.log]。

會執⾏新搜尋。符合搜尋的事件會顯⽰在螢幕的下⽅部分。新搜尋檢視新搜尋檢視[新搜尋] 檢視會在您執⾏搜尋後開啟。您可能會對此檢視中的某些元件感到熟悉，例如 [應⽤套件] 列、[搜尋] 列與 [時間範圍挑選器]。[搜尋] 列下⽅是 [時間表]、[欄位] 側邊欄與 [事件] 檢視。

18

數數字字 元件元件 說明說明

1應⽤套應⽤套件列件列 在 [搜尋與報告] 應⽤套件中巡覽不同的檢視。

2 搜尋列搜尋列 指定您的搜尋準則。

3時間範時間範圍挑選圍挑選器器

指定搜尋的期間。

4時間表時間表 以視覺⽅式表現出各時間點發⽣的事件數。時間表中的⾼點與低點可表⽰活動尖峰或伺服器停機時

間。時間表選項位於時間表上⽅。您可以放⼤、縮⼩和變更圖表刻度。5欄位側欄位側邊欄邊欄

顯⽰在事件中探索到的欄位清單。欄位會分組為 [所選欄位所選欄位 ] 與 [關注欄位關注欄位 ]。

6事件檢事件檢視視

顯⽰符合您搜尋的事件。依預設，會先列出最近事件。在每個事件中，會反⽩符合的搜尋詞彙。若要變更事件檢視，請使⽤ [清單清單 ]、[格式格式 ] 與 [每⾴每⾴ ] 選項。

探索資料來源類型探索資料來源類型1. 若要返回 [搜尋摘要] 檢視，請按⼀下 [應⽤套件] 列上的 [搜尋搜尋 ]。2. 嘗試其他搜尋。按⼀下 [資料摘要資料摘要 ]，然後按⼀下 [來源類型來源類型 ] 索引標籤。3. 按⼀下 [vendor_sales]。

[新搜尋] 檢視會開啟，且 [搜尋] 列會顯⽰下列搜尋準則。sourcetype=vendor_sales

從 [資料摘要] 對話⽅塊中選擇主機、來源或來源類型是查看您的資料如何轉換為事件的好⽅法。但是，Splunk 軟體的真正功能是可搜尋所有資料，⽽不是資料的區段部分。接下來的步驟接下來的步驟瞭解在搜尋中指定時間範圍。另請參閱另請參閱《搜尋⼿冊》中的＜檢視搜尋歷程記錄並進⾏互動＞《輸⼊資料⼿冊》中的＜為什麼來源類型很重要＞

指定時間範圍指定時間範圍使⽤時間範圍限制或篩選搜尋準則是最佳化搜尋的最簡單且最有效的⽅法。發⽣問題時，如果您知道⼤略的時間範圍，您可以使⽤時間範圍來疑難排解問題。將搜尋的時間範圍縮⼩⾄該時間範圍。例如，若要調查昨天發⽣的事件。可選擇 [昨天昨天 ] 或 [最近最近 24 ⼩時⼩時 ]。若要調查 10 分鐘前的事件，可選擇 [最近最近15 分鐘分鐘 ] 或 [最近最近 60 分鐘分鐘 ]。接著依調查需求調整時間範圍。

19

讓我們使⽤不同時間範圍，探索 Buttercup Games 線上商店的資料。1. 若要開始新搜尋，請按⼀下 [應⽤套件] 列上的 [搜尋搜尋 ]。2. 若要在您的事件中搜尋關鍵字，請在 [搜尋] 列中輸⼊ buttercupgames，然後按 Enter。

buttercupgames

關鍵字會在傳回的事件中反⽩。

請注意，系統會傳回上千個事件。您可以使⽤位於 [搜尋] 列右側的時間範圍挑選器來設定搜尋的時間邊界。預設時間範圍為 [所有時間所有時間 ]。您可以將搜尋限制為其中⼀個預設時間範圍，或使⽤⾃訂時間範圍。預設時間範圍預設時間範圍時間範圍挑選器有許多您可以選擇的預設時間範圍。

1. 在時間範圍挑選器中按⼀下 [所有時間所有時間 ]，查看時間範圍選項的清單。[預設預設 ] 選項包含 [即時即時 ]、[相對相對 ] 與 [其他其他 ] 時間範圍。[即時搜尋即時搜尋 ] 顯⽰事件的即時串流檢視。您可以指定要抓取事件的期間。[歷程記錄搜尋歷程記錄搜尋 ] 顯⽰過去的事件。您可指定相對時間範圍或特定⽇期和時間範圍，來限制您的搜尋。由於 Buttercup Games 線上商店的資料是歷程記錄資料的快照，因此，您將在本教學中使⽤ [相對相對 ] 與[⾃訂⾃訂 ] 時間範圍。

2. 在 [預設] 選項的 [相對相對 ] 清單中，按⼀下 [昨天昨天 ]。傳回的事件數應該⽐較少。您可以將時間範圍從 [所有時間所有時間 ] 變更為 [昨天昨天 ]。

註：註：如果未傳回事件，可能是因為您是在多天前下載的 tutorialdata.zip 檔案。當您下載 ZIP 檔案時，會產⽣時間戳記，並會將其新增⾄資料。資料最早的時間戳記是您下載檔案的⽇期。因此，沒有時間戳記為昨天的事件。嘗試其他 [相對] 時間範圍，例如 [上週上週 ] 或 [最近最近 7 天天 ]。

20

⾃訂時間範圍⾃訂時間範圍如果其中⼀個預設時間範圍對於您的搜尋⽽⾔不夠精確，請使⽤⾃訂時間範圍。指定相對時間範圍指定相對時間範圍您可以使⽤ [相對相對 ] 選項來指定⾃訂時間範圍。

1. 開啟時間範圍挑選器。2. 若要針對前兩⼩時執⾏搜尋，請選擇 [相對相對 ] 時間範圍選項。

3. 針對 [最早最早 ]，在欄位中輸⼊ 2，然後從下拉式清單中選擇 [⼩時前⼩時前 ]。4. 針對 [最晚最晚 ]，預設值為 [現在現在 ]。選擇 [⽬前⼩時數開始⽬前⼩時數開始 ]。5. 按⼀下 [套⽤套⽤ ]。時間戳記會調整以向您顯⽰您指定的最早及最近的時間戳記。如前所述，如果未傳回事件，請選擇其他時間範圍，例如 [4 天前天前 ] 或 [1 週前週前 ]。

指定⽇期與時間範圍指定⽇期與時間範圍您也可以使⽤ [⽇期範圍⽇期範圍 ] 與 [⽇期和時間範圍⽇期和時間範圍 ] 選項來指定⾃訂時間範圍。

使⽤ [介於介於 ] 指定事件必須在最早與最晚⽇期之間發⽣。使⽤ [之前之前 ] 指定事件必須在某⼀⽇期之前發⽣。使⽤ [從從 ] 指定事件必須在某⼀⽇期之後發⽣。

您可以使⽤ [⽇期範圍⽇期範圍 ] 選項指定⽇期。下列螢幕影像顯⽰您可以⽤來選擇⽇期的⾏事曆。

如果您要指定⽇期與時間，可以使⽤ [⽇期和時間範圍⽇期和時間範圍 ] 選項。下列螢幕影像顯⽰ [介於]、[之前] 或 [從] 選項。

21

例如，若要疑難排解 2016 年 9 ⽉ 20 ⽇下午 8 點 42 分發⽣的問題，請指定最早時間 09/20/2016 20:40:00.000 與最晚時間 09/20/2016 20:45:00.000，來顯⽰發⽣問題之前與之後的事件。接下來的步驟接下來的步驟到此完成搜尋教學的第 3 部分。您已探索 [搜尋] 應⽤套件檢視，並且已瞭解指定搜尋之時間範圍的重要性。請繼續進⾏第 4 部分：搜尋教學資料。另請參閱另請參閱《搜尋⼿冊》中的＜變更預設時間範圍＞

第第 4 部分：搜尋教學資料部分：搜尋教學資料基本搜尋與搜尋結果基本搜尋與搜尋結果在本節中，您會建⽴從索引抓取事件的搜尋。本教學的資料適⽤於 Buttercup Games 線上商店。該商店銷售遊戲與其他相關商品，例如 T 恤。在本教學中，您將搜尋 Apache 網站存取記錄，並將存取記錄與廠商銷售記錄相互關聯。先決條件先決條件完成第 2 部分中的上傳教學資料步驟。使⽤搜尋助理使⽤搜尋助理搜尋助理是 [搜尋] 應⽤套件中的⼀個功能，會在您輸⼊搜尋準則時顯⽰。搜尋助理與⾃動完成類似，但是還有許多其他功能。

1. 按⼀下 [應⽤套件] 列上的 [搜尋搜尋 ] 開始新搜尋。2. 在 [搜尋] 列中輸⼊ buttercup。

當您將⼀些字⺟輸⼊到 [搜尋] 列中時，搜尋助理會為您顯⽰在您資料中符合您所輸⼊字⺟的詞彙。3. 按⼀下 [應⽤套件] 列上的 [搜尋搜尋 ] 開始新搜尋。4. 在 [搜尋] 列中輸⼊ category。您所看⾒的詞彙位於教學資料中。

5. 使⽤向下箭頭並從搜尋助理清單中選擇 [categoryid=sports]。6. 按下 Enter，或按⼀下搜尋列右側的 [搜尋] 圖⽰，以執⾏搜尋。

22

相符的搜尋相符的搜尋搜尋助理也會根據您最近執⾏的搜尋傳回相符搜尋。[相符的搜尋] 清單在您要執⾏與昨天或⼀週前相同的搜尋時很有⽤。當您登出時，會保留搜尋歷程記錄。在您開始學習搜尋語⾔時，搜尋助理更有⽤。當您輸⼊搜尋命令時，搜尋助理會顯⽰命令資訊。從索引抓取事件從索引抓取事件讓我們嘗試找出 Buttercup Games 網站已發⽣的錯誤數⽬。若要抓取提及錯誤或故障的事件，請在搜尋準則中輸⼊關鍵字。如果您使⽤多個關鍵字，則需要指定布林運算⼦，例如 AND、OR 與 NOT。當您輸⼊多個關鍵字時，會隱含 AND 運算⼦。例如，輸⼊ buttercupgames error 與輸⼊ buttercupgames ANDerror 相同。

1. 開始新搜尋。2. 若要在同時提及 buttercupgames 的事件中搜尋詞彙 error、fail、failure、failed 或 severe，請執⾏下列搜尋。

buttercupgames (error OR fail* OR severe)

提⽰：提⽰：您可以將搜尋從本教學直接複製並貼上⾄ [搜尋] 列，⽽⾮輸⼊搜尋字串。按⼀下時間範圍挑選器右側的 [搜尋] 圖⽰來執⾏搜尋。

請注意，布林運算⼦必須為⼤寫。星號 ( * ) 字元可作為萬⽤字元來⽐對 fail、failure、failed、failing 等。評估布林運算式時，會將優先順序提供給括弧內的詞彙。系統會先評估 NOT ⼦句，再評估 OR ⼦句。AND ⼦句的優先順序最低。

23

此搜尋會抓取 427 個符合事件。瞭解搜尋結果瞭解搜尋結果[搜尋] 列下⽅是四個索引標籤：[事件事件 ]、[模式模式 ]、[統計資料統計資料 ]、[視覺化視覺化 ]。顯⽰搜尋結果的索引標籤取決於您使⽤的搜尋命令類型。在本教學的前幾部分中，您將主要使⽤ [事件事件 ] 索引標籤。在本教學的稍後部分中，您將瞭解其他索引標籤。[事件事件 ] 索引標籤會顯⽰ [事件時間表]、[欄位] 側邊欄及 [事件] 檢視器。

依照預設，事件會以清單顯⽰，從最近的事件開始排序。在每個事件中，會反⽩符合的搜尋詞彙。[清單清單 ] 顯⽰選項會將事件資訊顯⽰在三欄中。欄欄 說明說明i 使⽤事件資訊欄可展開或收合事件資訊的顯⽰。依預設，會收合顯⽰。按⼀下⼤於 ( > ) 符號可展開顯

⽰。時間

事件的時間戳記。檢索事件時，會擷取事件中的時間戳記。如果事件不包含時間戳記，檢索程序會新增檢索事件之⽇期與時間的時間戳記。

事件 原始事件資料。[欄位] 側邊攔中的 [所選欄位所選欄位 ] 顯⽰在每個事件的底部。

變更事件檢視器的顯⽰變更事件檢視器的顯⽰24

1. 選擇 [清單清單 ] 選項，然後按⼀下 [表格表格 ]。顯⽰會變更為顯⽰事件資訊欄、時間戳記欄以及每個 [所選欄位所選欄位 ] 的欄。稍後，您將在教學中進⼀步瞭解 [所選欄位]。

2. 將顯⽰變更回 [清單清單 ]。事件時間表事件時間表[事件時間表] 以視覺⽅式表現出各時間點發⽣的事件數。當時間表隨搜尋結果更新時，會有⻑條的叢集或模式。每個⻑條的⾼度表⽰事件數。時間表中的⾼點與低點可表⽰活動尖峰或伺服器停機時間。時間表會反⽩事件模式或調查事件活動中的⾼點與低點。時間表選項位於時間表上⽅。您可以放⼤、縮⼩和變更圖表刻度。欄位側邊欄欄位側邊欄當您檢索資料時，Splunk 軟體會從名稱與值配對格式的資料 (稱為欄位欄位 ) 中擷取資訊。當您執⾏搜尋時，探索到的欄位會在搜尋結果旁邊的 [欄位] 側邊欄中列出。您可以選擇要在事件中顯⽰的其他欄位。此外，您也可以隱藏此側邊欄，以最⼤化結果區域。[所選欄位] 是設為在搜尋結果中顯⽰的欄位。依照預設，會出現 host、source 與 sourcetype。[關注欄位關注欄位 ] 是已從搜尋結果擷取的其他欄位。

模式、統計資料和視覺化模式、統計資料和視覺化[模式模式 ] 索引標籤可簡化事件模式偵測。它會顯⽰您搜尋所傳回事件集的常⾒模式清單。每個模式代表結構類似的多個事件。當您使⽤包含轉換命令 (例如 stats、top、chart 等) 的搜尋時，將會填⼊ [統計資料統計資料 ] 索引標籤。「buttercupgames」關鍵字搜尋在此索引標籤中並未顯⽰結果，因為搜尋不包含任何轉換命令。轉換搜尋也會填⼊ [視覺化視覺化 ] 索引標籤。[視覺化視覺化 ] 索引標籤的結果區域包含⼀張圖表，及⽤來產⽣圖表的統計資料表格。稍後，您將在教學中瞭解轉換命令，並使⽤ [統計資料] 和 [視覺化] 索引標籤。接下來的步驟接下來的步驟瞭解使⽤欄位來搜尋資料。另請參閱另請參閱《搜尋⼿冊》中的＜使⽤搜尋助理協助建置搜尋＞《搜尋⼿冊》中的＜使⽤模式索引標籤識別事件模式＞《樞紐分析⼿冊》中的＜樞紐分析簡介＞

使⽤欄位進⾏搜尋使⽤欄位進⾏搜尋若要利⽤ Splunk 軟體的進階搜尋功能，您必須瞭解欄位及其使⽤⽅式。何謂欄位？何謂欄位？欄位以許多形式存在於電腦資料中。欄位通常是值 (在資料段落裡會有固定、分隔的位置) 或名稱與值配對 (其中每個欄位名稱都有單⼀值)。欄位可以是複值；即其會在事件中出現多次，且每次出現都有不同的值。

某些欄位範例為適⽤於存取網站伺服器 IP 位址的 clientip、適⽤於事件時間戳記的 _time，以及適⽤於伺服器網域名稱的 host。其中⼀個常⾒的複值欄位範例就是電⼦郵件地址欄位。雖然 From 欄位僅包含單⼀電⼦郵件地址，但 To 與 Cc 欄位可以與⼀或多個電⼦郵件地址相關聯。

欄位是可搜尋的名稱和值配對，其可區分⼀個事件與其他事件。並⾮所有事件都有相同的欄位與欄位值。使⽤欄位可撰寫更適合的搜尋，以抓取您想要的特定事件。擷取的欄位擷取的欄位Splunk 軟體會在索引時間和搜尋時間中，從事件資料擷取欄位。

25

檢索時間從 Splunk 軟體接收新資料到將資料寫⼊索引的時間跨距。檢索時間期間，會將資料剖析為區段與事件。會擷取預設欄位與時間戳記，並會套⽤轉換。

搜尋時間從啟動搜尋開始到完成搜尋結束的時間。搜尋時間期間，會發⽣某些類型的事件處理，例如搜尋時間欄位擷取、欄位別名、來源類型重新命名、事件類型⽐對等。

系統會在檢索資料時，為每個事件擷取預設欄位和其他索引欄位。使⽤欄位搜尋使⽤欄位搜尋當您搜尋欄位時，可以使⽤語法 fieldname=fieldvalue。

欄位名稱區分⼤⼩寫，欄位值則否。您可以在欄位值中使⽤萬⽤字元。欄位值包括空⽩時必須加上引號。

1. 按⼀下 [應⽤套件] 列上的 [搜尋搜尋 ] 開始新搜尋。2. 若要在 [來源類型來源類型 ] 欄位中搜尋以 access_ 開頭的任何值，請執⾏下列搜尋。

sourcetype=access_*

此搜尋指出您只想要從您的網站存取⽇誌記錄抓取事件。此搜尋在欄位值中使⽤萬⽤字元 access_* 來⽐對任何 Apache 網站存取 sourcetype。來源類型可以是access_common、access_combined 或 access_combined_wcookie。

3. 捲動搜尋結果中的事件清單。如果您熟悉 access_combined 格式的 Apache 記錄，則可能會識別出每個事件中的某些資訊，例如：

存取網站的使⽤者 IP 位址。所要求⾴⾯與參考⾴⾯的 URI 與 URL。每個⾴⾯要求的 HTTP 狀態碼。GET 或 POST ⾴⾯要求⽅法。

26

由於這些是 Buttercup Games 線上商店的事件，因此您可以在搜尋結果中識別其他資訊和關鍵字，例如關卡、模擬、產品 ID、類別 ID、購買、新增⾄購物⾞等。事件清單左邊為 [欄位] 側邊欄。當抓取符合您搜尋的事件時，欄位側邊欄會以 [所選欄位所選欄位 ] 與 [關注欄位關注欄位 ] 更新。這些是 Splunk 軟體從您的資料擷取的欄位。

當您第⼀次執⾏搜尋時，[所選欄位所選欄位 ] 清單會包含主機、來源與來源類型等預設欄位。預設欄位會顯⽰在每個事件中。

指定所選欄位指定所選欄位您可以指定其他欄位顯⽰在 [所選欄位所選欄位 ] 清單中。當您將欄位新增⾄ [所選欄位所選欄位 ] 清單時，搜尋結果中會包含欄位名稱與欄位值。

1. 若要將欄位新增⾄ [所選欄位所選欄位 ] 清單，請按⼀下 [所有欄位所有欄位 ]。[選擇欄位] 對話⽅塊會顯⽰事件中欄位的清單。[值數值數 ] 欄會顯⽰事件中每個欄位的唯⼀值數。由於您的搜尋準則指定來源類型，因此 [來源類型來源類型 ] 欄位只有 1 個值。

27

清單包含其他預設欄位、來源類型特有的欄位，以及與 Buttercup Games 線上商店相關的欄位。除了⾃動顯⽰在 [所選欄位] 清單中的三個預設欄位以外，還有檢索資料時建⽴的其他預設欄位。例如，基於以date_* 開頭之事件 timestamp 的欄位。識別包含標點符號之資料的欄位是 punct 欄位。指定 Splunk 部署中資料位置的欄位是 index 欄位。其他欄位名稱會套⽤⾄您搜尋的網站存取⽇誌記錄。例如，clientip、method 與 status 欄位。這些不是預設欄位。它們是在搜尋時間擷取的欄位。其他擷取欄位與 Buttercup Games 線上商店相關。例如，action、categoryId 和 productId。

選擇 action、categoryId 與 productId 欄位。關閉 [選擇欄位] 對話⽅塊。

[欄位] 側邊欄中的 [所選欄位所選欄位 ] 下⽅隨即出現您選擇的三個欄位。所選欄位也會出現在搜尋結果的事件中，但前提是這些欄位必須存在於該特定事件中。每個事件不可具有相同的欄位。

識別欄位值識別欄位值[欄位] 側邊欄會顯⽰事件中每個欄位的唯⼀值數。這些值數與 [選擇欄位] 對話⽅塊中顯⽰的數字相同。

28

1. 在 [所選欄位所選欄位 ] 下，注意 action 欄位旁邊的數字 5。2. 按⼀下 action 欄位。

動作欄位的欄位摘要即會開啟。

在此搜尋結果集內，action 有五個值。action 欄位會顯⽰ 49.9% 的搜尋結果。3. 關閉動作欄位摘要視窗。4. 檢閱您新增⾄ [所選欄位] 的其他兩個欄位。categoryId 欄位可識別 Buttercup Games 線上商店銷售的遊戲或其他產品的類型。productId 欄位包含每個產品的⽬錄編號。

5. 捲動事件清單。6. i 欄包含事件資訊。在 i 欄中，按⼀下事件旁邊的箭頭 ( > ) 可展開事件資訊。

您可以使⽤此展開的⾯板來檢視特定事件中的所有欄位，或取消選擇個別事件的個別欄位。執⾏具⽬標性的搜尋執⾏具⽬標性的搜尋下列範例是使⽤欄位的搜尋。搜尋成功購買數搜尋成功購買數搜尋 Buttercup Games 商店的成功購買數。

1. 開始新搜尋。2. 執⾏下列搜尋。

sourcetype=access_* status=200 action=purchase

本搜尋使⽤ HTTP 狀態欄位 status 來指定要求是否成功，及使⽤ action欄位僅搜尋購買事件。您可以使⽤ status!=200，使⽤類似的⽅式搜尋失敗的購買，這將尋找所有 HTTP 狀態代碼不等於 200 的事件。

3. 變更搜尋的 status 部分，然後再次執⾏搜尋。29

sourcetype=access_* status!=200 action=purchase

搜尋錯誤搜尋錯誤在事件中設計錯誤的⽅式會因來源⽽不同。若要搜尋錯誤，您的搜尋必須指定這些不同的指定。使⽤布林運算⼦可指定不同的錯誤準則。使⽤括弧可分組搜尋字串的部分。

1. 開始新搜尋。2. 執⾏下列搜尋。

(error OR fail* OR severe) OR (status=404 OR status=500 OR status=503)

此搜尋不會指定來源類型。搜尋會從安全記錄檔和網站存取記錄檔抓取事件。搜尋特定產品的銷售搜尋特定產品的銷售搜尋昨天購買了多少模擬樣式遊戲。

1. 在時間範圍挑選器中，從 [預設] 清單選擇 [昨天昨天 ]。如果您在多天前下載 tutorialdata.zip 檔案，則沒有時間戳記為昨天的事件。請將時間範圍挑選器變更為[所有時間所有時間 ]，然後執⾏先前的搜尋。在搜尋結果中，查看⽇期。使⽤時間範圍挑選器中的 [⽇期範圍⽇期範圍 ] 選項，指定結果中的其中⼀個⽇期。

2. 執⾏下列搜尋。sourcetype=access_* status=200 action=purchase categoryId=simulation

當您輸⼊搜尋時，搜尋助理會向您顯⽰以「sourcetype」開頭之先前搜尋的清單。您可以選擇先前可以執⾏的搜尋來搜尋成功購買數。然後，將 categoryId=simulation 新增⾄該搜尋的結尾。傳回的事件數為購買的模擬遊戲數。

3. 尋找商店銷售每個產品類型的購買數。1. 按⼀下 [所選欄位所選欄位 ] 清單中的 [類別類別 ID] 欄位，找到唯⼀類別 ID 值。2. 針對每個唯⼀類別 ID 值，在步驟 2 中執⾏搜尋。

如需上週每⼀天的購買數，請針對每個時間範圍再次執⾏搜尋。接下來的步驟接下來的步驟您可以使⽤欄位的相關知識來利⽤ Splunk 搜尋處理語⾔產⽣統計資料及建置圖表。讓我們瞭解⼀下如何使⽤搜尋語⾔。另請參閱另請參閱《知識管理員⼿冊》中的

關於欄位 使⽤預設欄位Splunk Enterprise 擷取欄位的時機

使⽤搜尋語⾔使⽤搜尋語⾔您⽬前為⽌執⾏的搜尋已從您的 Splunk 索引抓取事件。您僅可詢問僅有傳回的事件數可回答的問題。例如，您可以執⾏下列搜尋來確定已購買的模擬遊戲數：sourcetype=access_* status=200 action=purchase categoryId=simulation

若要尋找上週的這個數量，您需要針對該週每⼀天的資料來執⾏搜尋。若要瞭解哪個產品⽐其他產品更熱⾨，請針對⼋個 categoryId 值執⾏搜尋並⽐較結果。瞭解搜尋助理瞭解搜尋助理搜尋助理有兩種模式：[精簡] 與 [完整]。預設模式為 [精簡] 模式，我們已在本教學的＜基本搜尋與搜尋結果＞主題中介紹過此模式。本節將說明您可以如何變更模式，以及如何使⽤搜尋助理來瞭解 Splunk 搜尋處理語⾔ (SPL) 和建⽴搜尋。

30

本節將說明您可以如何變更模式，以及如何使⽤搜尋助理來瞭解 Splunk 搜尋處理語⾔ (SPL) 和建⽴搜尋。1. 選擇 [管理員管理員 ] > [帳戶設定帳戶設定 ]。

2. 向下捲動到 [搜尋搜尋 ] 區段並將搜尋助理變更為 [完整完整 ]。當您在 [搜尋] 列中輸⼊命令時，[完整] 模式提供更多資訊。

3. 按⼀下 [儲存儲存 ]。4. 按⼀下 [應⽤套件應⽤套件 ] > [搜尋與報告搜尋與報告 ] 返回 [搜尋] 應⽤套件。5. 在 [搜尋] 列中輸⼊ s。

搜尋助理會顯⽰ [相符的搜尋相符的搜尋 ] 與 [相符的詞彙相符的詞彙 ] 清單。它也會簡要說明搜尋⽅法搜尋⽅法。

6. 從 [相符的搜尋相符的搜尋 ] 清單選擇下列搜尋，或在 [搜尋] 列中輸⼊搜尋。sourcetype=access_* status=200 action=purchase

7. 在 [搜尋] 列中輸⼊直⽴線字元 ( | )。直⽴線字元表⽰您將要使⽤命令。直⽴線左側的搜尋結果會作為直⽴線右側的命令輸⼊。您可以將命令的結果傳遞⾄搜尋命令的系列或管線管線中的另⼀個命令。請注意，搜尋助理會變更以顯⽰ [通⽤的下⼀個命令通⽤的下⼀個命令 ] 清單。

您想要搜尋傳回 Buttercup Games 線上商店最熱銷的商品。8. 在 [通⽤的下⼀個命令通⽤的下⼀個命令 ] 下⽅，按⼀下 [top]。

top 命令會附加⾄您的搜尋字串。

31

9. 在 [搜尋] 列中輸⼊ categoryId。下列搜尋是完整搜尋字串。sourcetype=access_* status=200 action=purchase | top categoryId

直⽴線字元之前的搜尋準則可從存取控制記錄檔找到成功 (HTTP 狀態為 200) 及購買產品的事件。直⽴線字元之後的搜尋準則可定位事件，並會傳回最常⾒值的 catetoryId 欄位。

執⾏搜尋。top 命令的結果會出現在 [統計資料統計資料 ] 索引標籤中。

在統計資料索引標籤中檢視結果在統計資料索引標籤中檢視結果top 命令為轉換命令轉換命令。轉換命令會在資料表格中排列搜尋結果。您可以使⽤轉換命令來產⽣可⽤來建⽴視覺化 (例如柱狀圖、⻑條圖、折線圖、區域圖及圓餅圖) 的結果。稍後，我們將在本教學中進⼀步討論視覺化。由於轉換命令以表格格式傳回搜尋結果，因此，結果會顯⽰在 [統計資料統計資料 ] 索引標籤中。

在這個針對成功購買的搜尋中，找到了七個不同的類別 ID。清單會根據事件中類別 ID 值的頻率，依最⾼到最低順序顯⽰類別 ID 值。許多轉換命令都會傳回包含有⽤統計資訊的其他欄位。top 命令會傳回兩個新欄位，count 與 percent。

count 欄位指定每個 categoryId 欄位值在搜尋結果中的出現次數。percent 欄位指定該數量相較於總數的⼤⼩。

在視覺化索引標籤中檢視和格式化結果在視覺化索引標籤中檢視和格式化結果您也可以在 [視覺化視覺化 ] 索引標籤中檢視轉換搜尋的結果，您可在其中設定圖表類型的格式。

1. 按⼀下 [視覺化視覺化 ] 索引標籤。依預設，[視覺化視覺化 ] 索引標籤會以柱狀圖開啟。

2. 按⼀下 [柱狀圖柱狀圖 ] 以開啟視覺化類型選取器。

32

此類型的資料集建議使⽤ [柱狀圖]、[⻑條圖] 和 [圓餅圖]。3. 選擇 [圓餅圖圓餅圖 ]。

現在，您的視覺化看起來像下列圓餅圖：

4. 按⼀下視覺化下拉式清單旁邊的 [格式格式 ]。在 [深⼊檢視深⼊檢視 ] 旁邊的 [⼀般⼀般 ] 索引標籤中，按⼀下 [是是 ]。然後，關閉對話⽅塊。

[深⼊檢視深⼊檢視 ] 設定可讓您深⼊探索 [視覺化] 索引標籤中表格與圖表的詳細資訊。1. 將滑⿏移到圓餅圖的每個扇形標籤上，您將看到每個類別 ID 的數量和百分⽐的值。

33

2. 按⼀下扇形，例如「STRATEGY」。因為 [深⼊檢視] 已啟⽤，所以準則 categoryId=STRATEGY 會新增⾄您的搜尋字串來取代 top 命令。搜尋會再次執⾏。

接下來的步驟接下來的步驟瞭解使⽤⼦搜尋來建⽴事件關聯。另請參閱另請參閱《搜尋參考》中的 top 命令《儀表板和視覺化》中的＜深⼊檢視⾏為＞

使⽤⼦搜尋使⽤⼦搜尋在本節中，您將瞭解如何使⽤⼦搜尋來建⽴事件關聯。將⼦搜尋想像成搜尋中的搜尋。在搜尋字串中，⼦搜尋會以⽅括號框住，並先進⾏評估。然後將⼦搜尋的結果作為主要或外部搜尋的引數。讓我們找出 Buttercup Games 線上商店最常⾒的客戶，以及該客戶購買了什麼項⽬。下列範例顯⽰⼦搜尋很有⽤的原因。範例 1 顯⽰如何在不使⽤⼦搜尋的情況下尋找最常⾒的客戶。範例 2 顯⽰如何在使⽤⼦搜尋的情況下尋找最常⾒的客戶。範例範例 1：不使⽤⼦搜尋進⾏搜尋：不使⽤⼦搜尋進⾏搜尋您想要找出 Buttercup Games 線上商店最常⾒的客戶，以及該客戶購買了什麼項⽬。使⽤ top 命令可傳回最常⾒的客戶。

34

1. 若要尋找最常存取線上商店的客戶，請使⽤此搜尋。sourcetype=access_* status=200 action=purchase | top limit=1 clientip

limit=1 引數指定傳回值 1。clientip 引數指定要傳回的欄位。

此搜尋會傳回⼀個 clientip 值，我們將其⽤於識別 VIP 客戶。現在，您需要執⾏另⼀個搜尋，來確定 VIP 客戶已購買的不同產品數。

2. 使⽤ stats 命令來計算此 VIP 客戶的購買數。sourcetype=access_* status=200 action=purchase clientip=87.194.216.51 | stats count, dc(productId),

values(productId) by clientip

此搜尋使⽤ count() 函數傳回客戶的購買總數。dc() 函數是 distinct_count 函數。使⽤此函數可計算客戶購買的不同或唯⼀產品數。values 引數可⽤於在結果中顯⽰實際產品 ID。

此⽅法的缺點是每次您想要建⽴此表格時，都必須執⾏兩次搜尋。在任何指定時間範圍中，最⾼購買者可能不是相同的⼈。範例範例 2：使⽤⼦搜尋進⾏搜尋：使⽤⼦搜尋進⾏搜尋⼦搜尋會以⽅括號 [ ] 框住，並會在剖析搜尋時優先處理。

1. 將下列搜尋複製並貼上⾄ [搜尋] 列，並執⾏搜尋。sourcetype=access_* status=200 action=purchase [search sourcetype=access_* status=200 action=purchase |

top limit=1 clientip | table clientip] | stats count, dc(productId), values(productId) by clientip

⼦搜尋是以⽅括號框住的搜尋部分。search sourcetype=access_* status=200 action=purchase | top limit=1 clientip | table clientip

此⼦搜尋幾乎與範例 1 步驟 1 中的搜尋相同。區別是上次輸送的命令 | table clientip 不同。由於 top 命令會傳回 count 與 percent 欄位，因此 table 命令將⽤來僅保留 clientip 值。

35

如果您在相同的時間範圍中執⾏，則這些結果應與範例 1 中的兩個搜尋結果相符。如果您變更時間範圍，您可能會看到不同的結果，因為最⾼購買數客戶會不同。註：註：此⼦搜尋的效能取決於有多少個獨特的 IP 位址符合 stats=200 action=purchase。如果有成千上萬個獨特的 IP 位址，top 命令必須在傳回第 1 名⽽影響效能前，追蹤所有位址。依預設，⼦搜尋會傳回最多10,000 個結果，執⾏時間最⻑ 60 秒。在⼤的⽣產環境中，此範例中的⼦搜尋有可能在完成前便逾時。最佳選項是重寫查詢來限制⼦搜尋必須處理的事件數。或者，您可以增加結果數上限與執⾏時間上限參數。

您可以重新命名欄來使資訊更容易瞭解。欄位欄位 重新命名重新命名

count 購買總數dc(productId) 產品總數values(productId) 產品 ID

clientip VIP 客戶您可以在搜尋的欄位中使⽤ AS 運算⼦來重新命名欄。如果您要使⽤的重新命名包含空格，則必須使⽤引號框住該重新命名。

2. 若要重新命名欄位，請將下列搜尋複製並貼上⾄ [搜尋] 列，並執⾏搜尋。sourcetype=access_* status=200 action=purchase [search sourcetype=access_* status=200 action=purchase |

top limit=1 clientip | table clientip] | stats count AS "Total Purchased", dc(productId) AS "Total

Products", values(productId) AS "Products ID" by clientip | rename clientip AS "VIP Customer"

3. 實驗此搜尋。當您針對不同時間範圍執⾏搜尋時，會發⽣什麼事？如果您想瞭解售出數量最多的產品以及其購買⼈數，應該怎麼做？

接下來的步驟接下來的步驟36

到此完成搜尋教學的第 4 部分。您已學習如何使⽤欄位、Splunk 搜尋語⾔及⼦搜尋來搜尋資料。請繼續進⾏第 5 部分：使⽤查閱豐富事件。另請參閱另請參閱《搜尋⼿冊》中的＜關於⼦搜尋＞《搜尋參考》中的 top 命令《搜尋參考》中的 stats 命令

第第 5 部分：使⽤查閱豐富事件部分：使⽤查閱豐富事件啟⽤欄位查閱啟⽤欄位查閱您可以使⽤欄位查閱欄位查閱將新欄位新增⾄事件。您可以使⽤欄位查閱參考符合事件資料欄位的外部 CSV 檔案欄位。您可以使⽤此符合欄位，透過將更有意義的資訊與可搜尋欄位從 CSV 檔案新增⾄每個事件，藉此豐富事件資料。外部 CSV 檔案稱為查閱表格檔案查閱表格檔案。您將使⽤的查閱檔案包含產品 ID、產品名稱、正常價格、銷售價格與產品代碼。先決條件先決條件在第 1 部分中，您已下載兩個教學資料檔案，並已解壓縮 Prices.csv.zip 檔案。您將在本節中使⽤該解壓縮的檔案。重要事項：重要事項：本教學剩餘的部分取決於您在本節中完成的步驟。若未設定欄位查閱，則搜尋不會產⽣正確結果。尋找查閱管理員尋找查閱管理員

1. 在 Splunk 列中，按⼀下 [設定設定 ]。2. 在 [知識知識 ] 區段中，按⼀下 [查閱查閱 ]。

[查閱管理員] 會開啟，您可在其中建⽴新查閱或編輯現有查閱。

您可以按⼀下 [查閱管理員] 中的連結，來檢視及編輯現有查閱。在本教學接下來的幾節中，您將會上傳查閱表格檔37

案、建⽴查閱定義，以及建⽴⾃動查閱。上傳查閱表格檔案上傳查閱表格檔案若要使⽤查閱表格檔案，您必須將檔案上傳⾄ Splunk 平台。

1. 在 [查閱管理員] 中，找到 [查閱表格檔案查閱表格檔案 ]。2. 在 [動作] 欄中，按⼀下 [新增新增 ]。

您可以使⽤ [新增新增 ] 查閱表格檔案檢視來上傳您要使⽤的 CSV 檔案。

3. [⽬的地應⽤套件⽬的地應⽤套件 ] 欄位指定您要上傳查閱表格檔案的⽬的應⽤套件。若要在 [搜尋] 應⽤套件中上傳檔案，您不需要變更任何內容。預設值為 [搜尋搜尋 ]。

4. 在 [上傳查閱檔案上傳查閱檔案 ] 下，按⼀下 [選擇檔案選擇檔案 ]，並瀏覽 prices.csv 檔案。5. 在 [⽬的地檔案名稱⽬的地檔案名稱 ] 下，輸⼊ prices.csv。

這是您建⽴查閱定義時⽤於參考檔案的名稱。6. 按⼀下 [儲存儲存 ]。

這會將查閱檔案上傳⾄ [搜尋] 應⽤套件，並顯⽰查閱表格檔案清單。如果 Splunk 軟體無法識別或無法上傳檔案，您可以採取下列動作。

檢查檔案是否已解壓縮。如果錯誤訊息指⽰檔案沒有換⾏符號，則表⽰檔案已損毀。如果檔案在上傳之前已在 Microsoft Excel 中開啟，便會發⽣此情況。您應該刪除 Prices.csv.zip 與 prices.csv 檔案。然後，再次下載 ZIP 檔案，並解壓縮檔案。

Splunk 軟體包含清單中的其他查閱表格檔案。共⽤查閱表格檔案共⽤查閱表格檔案現在，會上傳查閱表格檔案，您需要告知 Splunk 軟體可以使⽤此檔案的應⽤系統。您可以將查閱表格檔案與 [搜尋]應⽤套件或所有應⽤套件共⽤。

1. 在 [查閱表格檔案查閱表格檔案 ] 清單中，在 [路徑路徑 ] 清單的底部找到 prices.csv 檔案。2. 在 [共⽤共⽤ ] 欄中，注意已將 prices.csv 列為 [私⼈私⼈ ]。

38

3. 若要共⽤查閱表格檔案，請按⼀下 [權限權限 ]。4. 在 [權限] 對話⽅塊的 [物件應出現於物件應出現於 ] 下，選擇 [所有應⽤套件所有應⽤套件 ]。

5. 按⼀下 [儲存儲存 ]。prices.csv 查閱表格的 [共⽤] 設定會設定為 [全域全域 ]。

新增欄位查閱定義新增欄位查閱定義將查閱表格檔案與應⽤系統共⽤還不夠。您必須從查閱表格檔案建⽴查閱定義。

1. 在 [查閱表格檔案] 對話⽅塊中，選擇階層連結中的 [查閱查閱 ]，返回 [查閱管理員]。

2. 針對 [查閱定義查閱定義 ]，按⼀下 [新增新增 ]。[新增] 查閱定義⾴⾯即會開啟，您可以在其中定義欄位查閱。

3. 不需要變更 [⽬的地應⽤套件⽬的地應⽤套件 ] 設定。已將其設定為 [搜尋搜尋 ]，也就是指 [搜尋] 應⽤套件。4. 針對 [名稱名稱 ]，輸⼊ prices_lookup。5. 針對 [類型類型 ]，選擇 [以檔案為基礎的以檔案為基礎的 ]。

以檔案為基礎的查閱通常是靜態表格，例如 CSV 檔案。6. 針對 [查閱檔案查閱檔案 ]，選擇 prices.csv，其為您所建⽴之查閱表格檔案的名稱。

39

7. 針對 [設定以時間為基礎的查閱設定以時間為基礎的查閱 ] 與 [進階選項進階選項 ]，保留核取⽅塊的取消選擇狀態。8. 按⼀下 [儲存儲存 ]。

現在，會將 prices_lookup 定義為以檔案為基礎的查閱。

與所有應⽤套件共⽤查閱定義與所有應⽤套件共⽤查閱定義現在，您已建⽴查閱定義，您需要指定您要在其中使⽤該定義的應⽤套件。

1. 在 [查閱定義] 清單中，針對 prices_lookup，按⼀下 [權限權限 ]。2. 在 [權限] 對話⽅塊的 [物件應出現於物件應出現於 ] 下，選擇 [所有應⽤套件所有應⽤套件 ]。

3. 按⼀下 [儲存儲存 ]。

40

在 [查閱定義] ⾴⾯中，prices_lookup 現在擁有 [全域全域 ] 權限。您可以使⽤此欄位查閱將資訊從查閱表格檔案新增⾄您的事件。您可以在搜尋字串中指定 lookup 命令來使⽤欄位查閱。或者，您可以將欄位查閱設定為⾃動執⾏。設定⾃動查閱設定⾃動查閱要將欄位查閱套⽤⾄事件時，您可以將查閱設定為⾃動執⾏，⽽⾮在搜尋中使⽤ lookup 命令。

1. 在 [查閱管理員] 中，針對 [⾃動查閱⾃動查閱 ]，按⼀下 [新增新增 ]。這會帶您前往 [⾃動查閱] 檢視的 [新增] ⾴⾯，您可以在此設定要⾃動執⾏的查閱。

2. 不需要變更 [⽬的地應⽤套件⽬的地應⽤套件 ] 設定。已將其設定為 [搜尋搜尋 ]，也就是指 [搜尋] 應⽤套件。3. 針對 [名稱名稱 ]，輸⼊ autolookup_prices。4. 針對 [查閱表格查閱表格 ]，選擇 [prices_lookup]。

其他選項為以產品隨附之查閱表格檔案為基礎的查閱。5. 針對 [套⽤⾄套⽤⾄ ]，已選擇值 sourcetype。針對 [已命名已命名 ]，輸⼊ access_combined_wcookie。

6. 針對 [查閱輸⼊欄位查閱輸⼊欄位 ]，在這兩個⽂字⽅塊中輸⼊ productId。查閱輸⼊欄位是您可以將查閱表格檔案中的值與事件中的值相關聯的位置。第⼀個⽂字⽅塊指定查閱表格檔案中的值。第⼆個⽂字⽅塊指定事件中的值。查閱表格檔案擁有 [productId] 欄，其中包含與事件之 [productId] 欄位中的值相符的值。

41

7. 針對 [查閱輸出欄位查閱輸出欄位 ]，指定您想要新增⾄事件資料之查閱表格檔案中欄位的名稱。您可以指定其他名稱。查閱表格檔案有許多欄位。您將指定要顯⽰在事件中的兩個欄位。

1. 在第⼀個⽂字⽅塊中，輸⼊ product_name。這是 prices.csv 檔案中的欄位，其中包含每個 productId 的描述性名稱。

2. 在第⼆個⽂字⽅塊中，於等號後⾯輸⼊ productName。這是欄位的名稱，將針對產品的描述性名稱顯⽰在您的事件中。

3. 按⼀下 [新增另⼀個欄位新增另⼀個欄位 ]，在第⼀個欄位之後新增其他欄位。4. 在第⼀個⽂字⽅塊中輸⼊ price。這是 prices.csv 檔案中的欄位，其中包含每個 productId 的價格。讓我們使⽤將顯⽰在事件中之欄位的相同名稱。在第⼆個⽂字⽅塊中輸⼊ price。

8. 保留未勾選 [覆寫欄位值覆寫欄位值 ]。9. 按⼀下 [儲存儲存 ]。

[⾃動查閱] 檢視即會開啟，且您設定的查閱 autolookup_prices 位於清單中。完整名稱為access_combined_wcookie : LOOKUP-autolookup_prices。

42

接下來的步驟接下來的步驟您已將 [搜尋] 應⽤套件設定為從查閱表格定義⾃動抓取資訊。 現在，您將使⽤這些查閱定義進⾏搜尋。

使⽤欄位查閱進⾏搜尋使⽤欄位查閱進⾏搜尋在搜尋結果中顯⽰查閱欄位在搜尋結果中顯⽰查閱欄位現在，您已定義 prices_lookup，可以將欄位顯⽰在搜尋結果中。

1. 在 [應⽤套件] 功能表中，按⼀下 [搜尋與報告搜尋與報告 ] 以返回 [搜尋] 摘要檢視。2. 執⾏下列搜尋找到所有網路存取活動。

sourcetype=access_*

3. 在欄位側邊欄中捲動 [關注欄位關注欄位 ] 的清單，並尋找 price 欄位。4. 按⼀下 [價格價格 ] 以開啟欄位的摘要對話⽅塊。

5. 在 [已選取已選取 ] 旁按⼀下 [是是 ]。6. 關閉對話⽅塊。7. 在欄位側邊欄中捲動 [關注欄位關注欄位 ] 的清單，並尋找 productName 欄位。8. 按⼀下 [productName] 以開啟欄位的摘要對話⽅塊。9. 在 [已選取已選取 ] 旁按⼀下 [是是 ]。

43

10. 關閉對話⽅塊。price 欄位與 productName 欄位會顯⽰在 [所選欄位] 清單與搜尋結果中。請注意，並⾮每個事件都會顯⽰ price 與 productName 欄位。

使⽤新查閱欄位進⾏搜尋使⽤新查閱欄位進⾏搜尋當您設定⾃動查閱時，您指定了檢索事件中的 productId 欄位對應於 prices.csv 檔案中的 productId 欄位。當您執⾏搜尋時，Splunk 軟體會使⽤該關係來從 prices.csv 檔案中抓取或查閱資料。這可以讓您直接在搜尋中指定 productName 與 price 欄位。產品名稱與價格資訊不存在於我們的檢索欄位中。此資訊存在於查閱檔案 prices.csv 中。範例：顯⽰產品名稱與價格範例：顯⽰產品名稱與價格

1. 若要顯⽰ Buttercup Games 產品名稱與對應價格的清單，請執⾏下列搜尋。sourcetype=access_* |stats values(price) AS Price BY productName |rename productName AS "Product Name"

範例：顯⽰範例：顯⽰ VIP 客戶購買客戶購買在有關⼦搜尋的先前章節中，您已建⽴傳回 VIP 客戶所購買產品之產品 ID 的搜尋。

sourcetype=access_* status=200 action=purchase [search sourcetype=access_* status=200 action=purchase | top

limit=1 clientip | table clientip] | stats count AS "Total Purchased", dc(productId) AS "Total Products",

values(productId) AS "Products ID" BY clientip | rename clientip AS "VIP Customer"

44

事件會傳回產品 ID，因為這是事件中有關產品的唯⼀資料。但是，現在您已定義⾃動查閱，可以傳回實際產品名稱。

1. 使⽤相同搜尋，針對 values 參數，將 productId 欄位取代為 productName 欄位。sourcetype=access_* status=200 action=purchase [search sourcetype=access_* status=200

action=purchase | top limit=1 clientip | table clientip] | stats count AS "Total Purchased",

dc(productId) AS "Total Products", values(productName) AS "Product Names" BY clientip | rename

clientip AS "VIP Customer"

結果與先前搜尋相同，顯⽰ VIP 客戶的購買。但是，結果更有意義，因為顯⽰的是產品名稱，⽽⾮較晦澀難懂的產品 ID。

接下來的步驟接下來的步驟到此完成搜尋教學的第 5 部分。您已學習如何在搜尋中使⽤欄位查閱。在執⾏多次搜尋時，您會想要儲存這些搜尋，或與其他⼈共⽤搜尋。請繼續進⾏第 6 部分：建⽴報告與圖表。

第第 6 部分：建⽴報告與圖表部分：建⽴報告與圖表儲存及共⽤報告儲存及共⽤報告在本教學的最後幾部分中，您已瞭解使⽤ Splunk 軟體進⾏搜尋的基礎、如何使⽤⼦搜尋，以及如何從查閱表格新增欄位。第 6 部分為您顯⽰如何儲存及共⽤搜尋，以及探索更詳細的搜尋範例。

45

將搜尋另存為報告將搜尋另存為報告當您儲存搜尋時，會建⽴報告。建⽴報告之後，您可以使⽤報告進⾏多項操作。

1. 將時間範圍設定為 [最近最近 7 天天 ]，然後執⾏下列搜尋。此搜尋與您在＜使⽤欄位查閱進⾏搜尋＞⼀節中執⾏的搜尋相同。sourcetype=access_* status=200 action=purchase [search sourcetype=access_* status=200 action=purchase |

top limit=1 clientip | table clientip] | stats count AS "Total Purchased", dc(productId) AS "Total

Products", values(productName) AS "Product Names" BY clientip | rename clientip AS "VIP Customer"

註：註：如果搜尋未傳回結果，請增加搜尋的時間範圍。例如，您可對 [最近最近 30 天天 ] 或 [所有時間所有時間 ] 的時間範圍執⾏搜尋。

2. 按⼀下搜尋列上⽅的 [另存為另存為 ]，然後選擇 [報告報告 ]。

3. 在 [標題標題 ] 的 [另存為報告] 對話⽅塊中，輸⼊ VIP Customer。4. 針對 [說明說明 ]，輸⼊ Buttercup Games most frequent shopper。

5. 針對 [時間範圍挑選器時間範圍挑選器 ]，按⼀下 [是是 ]。當您在報告中包含 [時間範圍挑選器] 時，它可讓您選擇使⽤其他時間範圍來執⾏報告。

6. 按⼀下 [儲存儲存 ]。確認對話⽅塊會開啟，以確認已建⽴報告。從此對話⽅塊中，您可以執⾏下列動作。繼續編輯繼續編輯。精簡搜尋與報告格式。新增⾄儀表板新增⾄儀表板。將報告新增⾄新的或現有儀表板。檢視檢視。檢視報告。

7. 按⼀下 [檢視]。

您指定的標題與說明顯⽰在報告的上⽅。時間範圍挑選器也包含在報告的上⽅。46

檢視和編輯報告檢視和編輯報告您可以檢視及編輯已儲存的報告。您可以直接從報告中編輯報告。

1. 在 [VIP Customer] 報告中，按⼀下 [編輯編輯 ]。

選項可讓您在 [搜尋] 檢視中開啟報告，或編輯報告說明、權限、排程和加速。您也可以從此功能表中複製、內嵌和刪除報告。

2. 按⼀下 [更多資訊更多資訊 ] 來檢視報告的相關資訊。

從 [更多資訊更多資訊 ] 功能表中，您可以檢視及編輯報告的不同屬性，包括其排程、加速、權限和內嵌。3. 查看位於視窗左上⾓的時間範圍挑選器。

您可以使⽤ [時間範圍挑選器] 變更執⾏此搜尋的期間。例如，您可選擇 [預設格式] 時間範圍或定義⾃訂時間範圍，使⽤此時間範圍挑選器來執⾏ [週迄今週迄今 ]、[最近最近 60 分鐘分鐘 ] 或 [最近最近 24 ⼩時⼩時 ] VIP 客戶的搜尋。

尋找及共⽤報告尋找及共⽤報告您可以使⽤ [應⽤套件] 列來存取報告。

47

1. 按⼀下 [報告報告 ] 來開啟 [報告] ⾴⾯，並檢視報告的清單。

當您儲存報告時，會將 [共⽤共⽤ ] 設定為 [私⼈私⼈ ]。只有您才可以檢視和編輯報告。您可以變更報告權限來允許其他應⽤套件檢視、編輯，或檢視和編輯報告。

2. 針對 [VIP Customer] 報告，在 [動作動作 ] 下，按⼀下 [編輯編輯 ]。3. 選擇 [編輯權限編輯權限 ]。

4. 在 [編輯權限] 對話⽅塊中，將 [顯⽰對象顯⽰對象 ] 設定為 [應⽤套件應⽤套件 ]。顯⽰會展開以顯⽰更多設定。

5. 針對 [每個⼈每個⼈ ]，標⽰ [讀取讀取 ] 下的核取⽅塊。

此動作會讓可存取此應⽤套件的每個⼈擁有檢視報告的權限。6. 按⼀下 [儲存儲存 ]。

[報告] ⾴⾯會顯⽰出來。[VIP Customer] 報告的 [共⽤共⽤ ] 設定現在顯⽰為 [應⽤套件應⽤套件 ]，⽽⾮ [私⼈]。

48

接下來的步驟接下來的步驟進⼀步瞭解搜尋、圖表與報告。另請參閱另請參閱《報告⼿冊》中的

關於報告加速報告

搜尋、圖表與報告範例搜尋、圖表與報告範例讓我們來探索其他⼀些搜尋範例、使⽤柱狀圖視覺化，以及將搜尋儲存為報告。先決條件先決條件這些範例需要＜啟⽤欄位查閱＞⼀節中的 productName 欄位。您必須完成所有步驟才能繼續本節。範例：⽐較使⽤者動作數量範例：⽐較使⽤者動作數量在此範例中，您將計算有關客戶對線上商店網站執⾏之動作的資訊。

檢視每個產品的次數將每個產品新增⾄購物⾞的次數購買每個產品的次數

步驟步驟1. 開始新搜尋。2. 執⾏下列搜尋。

sourcetype=access_* status=200 | chart count AS views count(eval(action="addtocart")) AS addtocart

count(eval(action="purchase")) AS purchases by productName | rename productName AS "Product Name", views

AS "Views", addtocart AS "Adds to Cart", purchases AS "Purchases"

此搜尋使⽤ chart 命令來計算 action=purchase 和 action=addtocart 事件的數量。然後，搜尋會使⽤ rename命令來重新命名顯⽰在結果中的欄位。chart 命令為轉換命令。搜尋的結果會出現在 [統計資料統計資料 ] 索引標籤中。

49

3. 按⼀下 [視覺化視覺化 ] 索引標籤。搜尋結果會顯⽰在圓餅圖中。4. 將顯⽰變更為 [柱狀圖柱狀圖 ]。

範例：在單⼀圖表上重疊動作及轉換率範例：在單⼀圖表上重疊動作及轉換率在此範例中，您將使⽤ stats 命令來計算使⽤者動作。eval 命令可⽤來計算這些動作的轉換率。

1. 開始新搜尋。2. 執⾏下列搜尋。

sourcetype=access_* status=200 | stats count AS views count(eval(action="addtocart")) AS addtocart

count(eval(action="purchase")) AS purchases by productName | eval viewsToPurchases=(purchases/views)*100

| eval cartToPurchases=(purchases/addtocart)*100 | table productName views addtocart purchases

viewsToPurchases cartToPurchases | rename productName AS "Product Name", views AS "Views", addtocart as

"Adds To Cart", purchases AS "Purchases"

eval 命令可⽤來定義兩個新欄位。這些欄位包含轉換率。[viewToPurchases] 欄位會計算檢視產品的客戶數與購買產品之客戶數的⽐率。計算會傳回百分⽐。[cartToPurchases] 欄位會計算將產品新增⾄其購物⾞的客戶數與購買產品之客戶數的⽐率。計算會傳回百分⽐。

50

接下來的幾個步驟會重新設定柱狀圖視覺化的格式，來將轉換率的兩個資料系列重疊⾄動作的三個資料系列。

3. 按⼀下 [視覺化視覺化 ] 索引標籤。這是範例 1 中的相同圖表加上兩個額外的資料系列，viewsToPurchase 與 cartToPurchase。

4. 按⼀下 [格式格式 ] 和 [X 軸軸 ]。由於 X 軸上的標籤不易閱讀，因此，我們來修正⼀下。

51

1. 旋轉標籤 -45 度。2. 針對 [標籤截斷標籤截斷 ]，按⼀下 [否否 ]。3. 關閉 [格式] 對話⽅塊。

注意 X 軸上標籤中的變更。查看 Y 軸上的數值。範圍是從 1000 到 3000。5. 按⼀下 [格式格式 ] 和 [Y 軸軸 ]。

若要使柱狀圖更容易閱讀，請新增標籤，並在 Y 軸上指定不同的數值間隔。1. 針對 [標題標題 ]，選擇 [⾃訂⾃訂 ] 並輸⼊ Actions。2. 針對 [間隔間隔 ]，輸⼊ 500。3. 針對 [最⼤值最⼤值 ]，輸⼊ 2500。

4. 關閉 [格式] 對話⽅塊。注意 Y 軸上的標籤與值。6. 按⼀下 [格式格式 ] 及 [圖表重疊圖表重疊 ]。

若要分隔動作 (檢視、新增⾄購物⾞以及購買數) 與轉換率 (viewToPurchases 與 cartToPurchases)，您可以將⼀組值重疊到另⼀組值上。在此範例中，您會將轉換率重疊到動作上。

1. 針對 [重疊重疊 ]，在⽅塊中按⼀下，然後選擇 [viewsToPurchase]。在⽅塊中再按⼀下，然後選擇[cartToPurchase]。

2. 針對 [以軸檢視以軸檢視 ]，按⼀下 [開開 ]。3. 針對 [標題標題 ]，選擇 [⾃訂⾃訂 ]。

4. 輸⼊ Conversion Rates。52

5. 針對 [刻度刻度 ]，按⼀下 [線性線性 ]。6. 針對 [間隔間隔 ]，輸⼊ 20。針對 [最⼤值最⼤值 ]，輸⼊ 100。

柱狀圖右側的軸稱為第⼆個第⼆個 Y 軸軸。折線系列的標籤與值會顯⽰在此軸上。7. 按⼀下 [另存為]，然後選擇 [報告]。

1. 在 [標題標題 ] 的 [另存報告為] 對話⽅塊中，輸⼊ Comparison of Actions and Conversion Rates by Product。2. 針對 [說明說明 ]，輸⼊ The number of times a product is viewed, added to cart, and purchased and the rates of

purchases from these actions.

8. 按⼀下 [儲存儲存 ]9. 在確認對話⽅塊中，按⼀下 [檢視檢視 ]。

範例：特定期間內所購買的產品分析範例：特定期間內所購買的產品分析建⽴針對已完成的每個商品購買數，繪製圖表的報告。

1. 開始新搜尋。2. 執⾏下列搜尋。

sourcetype=access_* | timechart count(eval(action="purchase")) by productName usenull=f useother=f

此搜尋使⽤ count() 函數來計算具有 action=purchase 欄位的事件數。該搜尋也使⽤ usenull 與 useother 引數，以確保 timechart 命令只計算擁有 productName 值的事件。下表會顯⽰在 [統計資料統計資料 ] 索引標籤中。

53

3. 按⼀下 [視覺化視覺化 ] 索引標籤。4. 將圖表類型變更為 [折線圖]。5. 在 [格式格式 ] 下拉式清單中，設定 [X 軸軸 ]、[Y 軸軸 ] 與 [圖例圖例 ] 的格式，來產⽣下列圖表

此表格列出對圖表進⾏的變更。圖表變更圖表變更 設定或值設定或值

圖表類型 折線圖X 軸⾃訂標題 ⽇期X 軸標籤 -45 度⾓Y 軸⾃訂標題 購買數Y 軸間隔 10

圖例位置 上⽅6. 按⼀下 [另存為]，然後選擇 [報告]。

1. 在 [標題標題 ] 的 [另存報告為另存報告為 ] 對話⽅塊中，輸⼊ Product Purchases over Time。2. 針對 [說明說明 ]，輸⼊ The number of purchases for each product。3. 針對 [內容內容 ]，選擇 [折線圖與統計資料表格折線圖與統計資料表格 ]。4. 針對 [時間範圍挑選器時間範圍挑選器 ]，保留預設設定 [是是 ]。

7. 按⼀下 [儲存儲存 ]。8. 在確認對話⽅塊中，按⼀下 [檢視檢視 ]，查看報告。

54

範例：購買趨勢範例：購買趨勢此範例使⽤⾛勢圖顯⽰隨時間變化的購買數趨勢。[⾛勢圖] 是⼀種內置圖表，顯⽰於搜尋結果表格中，其專為可顯⽰以時間為基礎且與每⼀列主要索引鍵關聯的趨勢⽽設計。針對使⽤ stats 與 chart 命令的搜尋，您可以將⾛勢圖新增⾄結果表格中。

1. 開始新搜尋。2. 執⾏下列搜尋。

sourcetype=access_* status=200 action=purchase| chart sparkline(count) AS "Purchases Trend" count AS

Total by categoryId | rename categoryId AS "Category"

此搜尋使⽤ chart 命令來利⽤ action="purchase" 計算購買數。搜尋會使⽤ categoryId 指定每個產品的購買數。差別在於現在購買數是 sparkline() 函數的引數。

3. 按⼀下 [另存為]，然後選擇 [報告]。4. 在 [標題標題 ] 的 [另存報告為另存報告為 ] 對話⽅塊中，輸⼊ Purchasing trends。5. 針對 [說明說明 ]，輸⼊ Count of purchases with trending。

55

6. 按⼀下 [儲存儲存 ]。7. 在確認對話⽅塊中，按⼀下 [檢視檢視 ]。

接下來的步驟接下來的步驟到此完成搜尋教學的第 6 部分。⾄⽬前為⽌，您已將搜尋另存為報告。請繼續進⾏第 7 部分：＜建⽴儀表板＞，您可以在其中瞭解如何將搜尋和報告另存為儀表板⾯板。另請參閱另請參閱《搜尋參考》中的 chart 命令《搜尋⼿冊》中的轉換命令《搜尋⼿冊》中的＜新增⾛勢圖⾄搜尋結果＞

第第 7 部分：建⽴儀表板部分：建⽴儀表板關於儀表板關於儀表板儀表板是由⾯板所組成的檢視。⾯板可能包含搜尋⽅塊、欄位、圖表、表格和清單之類的模組。儀表板⾯板通常會連接⾄報告。建⽴搜尋視覺化或儲存報告之後，可將其新增⾄全新或現有的儀表板。另外也有⼀個您可以⽤來建⽴及編輯儀表板的[儀表板編輯器]。當您有⼀組要快速新增⾄儀表板的儲存報告時，[儀表板編輯器] ⾮常實⽤。變更儀表板權限變更儀表板權限您可以從 [儀表板編輯器] 授與儀表板的存取權限。但是，您的使⽤者⾓⾊以及針對該⾓⾊定義的功能可能會限制您可定義的存取類型。如果您的 Splunk 使⽤者⾓⾊是管理員 (包含⼀組預設功能)，則您可以建⽴私⼈儀表板、在特定應⽤套件中可⾒的儀表板或在所有應⽤套件中都可⾒的儀表板。您也可以為其他 Splunk 使⽤者⾓⾊提供存取權限，例如使⽤者、管理員，以及其他具有特定功能的⾓⾊。變更儀表板⾯板視覺化變更儀表板⾯板視覺化在您使⽤ [儀表板編輯器] 建⽴⾯板後，請使⽤ [視覺化編輯器] 變更⾯板中的視覺化類型，並指定該視覺化的顯⽰與表現⽅式。

56

編輯儀表板的編輯儀表板的 XML 設定設定您可以透過編輯儀表板的 XML 設定來編輯儀表板中的⾯板。這會提供無法從 [儀表板編輯器] 使⽤的功能存取權限。例如，您可以編輯 XML 設定以變更儀表板的名稱，也可以在表格中指定⾃訂列數。接下來的步驟接下來的步驟現在，讓我們建⽴以搜尋與報告為基礎的儀表板和儀表板⾯板。另請參閱另請參閱《管理員⼿冊》中的＜管理知識物件權限＞《儀表板和視覺化》中的＜視覺化參考＞《儀表板和視覺化》中的＜視覺化資料結構需求＞

建⽴儀表板和⾯板建⽴儀表板和⾯板在本節中，您會將搜尋另存為儀表板⾯板，以及新增輸⼊元件⾄儀表板。將搜尋另存為儀表板⾯板將搜尋另存為儀表板⾯板

1. 開始新搜尋。2. 執⾏下列搜尋。

sourcetype=access_* status=200 action=purchase | top categoryId

3. 按⼀下 [視覺化視覺化 ] 索引標籤。顯⽰會顯⽰折線圖。4. 將折線圖變更為 [圓餅圖圓餅圖 ]。

5. 按⼀下 [另存為另存為 ]，然後選擇 [儀表板⾯板儀表板⾯板 ]。6. 定義新儀表板和儀表板⾯板。

1. 針對 [儀表板儀表板 ]，按⼀下 [新增新增 ]。2. 針對 [儀表板標題儀表板標題 ]，輸⼊ Buttercup Games - Purchases。

57

[儀表板儀表板 ID] 欄位會顯⽰ buttercup_games__purchases。3. 針對 [儀表板說明儀表板說明 ]，輸⼊ Reports on Buttercup Games purchases data。4. 針對 [儀表板權限儀表板權限 ]，保留預設設定 [私⼈私⼈ ]。5. 針對 [⾯板標題⾯板標題 ]，輸⼊ Top Purchases by Category。6. 針對 [⽀援⾯板⽀援⾯板 ]，保留預設設定 [內置搜尋內置搜尋 ]。7. 針對 [⾯板內容⾯板內容 ]，保留 [圓餅圖圓餅圖 ] 的設定。

7. 按⼀下 [儲存儲存 ]。8. 在確認對話⽅塊中，按⼀下 [檢視儀表板檢視儀表板 ]。

現在您擁有包含⼀個報告⾯板的儀表板。若要新增更多報告⾯板，您可執⾏新搜尋並將它們儲存⾄儀表板，或您可新增儲存的報告⾄此儀表板。在下⼀節中，您會將多個⾯板新增⾄此儀表板。現在，讓我們在此儀表板⾯板上多花點時間。檢視及編輯儀表板⾯板檢視及編輯儀表板⾯板有⼀個單獨的檢視，可查看您擁有存取權的儀表板清單。您可以從此檢視中建⽴儀表板，以及對儀表板與儀表板⾯板進⾏變更。

1. 按⼀下 [應⽤套件] 列中的 [儀表板儀表板 ]，查看 [儀表板] 檢視。您可能會看到彈出對話⽅塊，詢問您是否需要儀表板導覽。如果您要導覽，在導覽結束後會有⼀個選項讓您⾃⾏試⽤儀表板。此選項會顯⽰ [儀表板] 檢視。

2. 針對 [Buttercup Games - Purchases] 儀表板，按⼀下 i 欄中的箭頭 ( > ) 符號，展開儀表板資訊。58

您可以查看與此儀表板相關聯的應⽤套件、是否已排程儀表板，以及儀表板權限的相關資訊。

將控制項新增⾄儀表板將控制項新增⾄儀表板您可以將輸⼊控制項 (例如 [時間範圍挑選器]) 新增⾄儀表板⾯板。

1. 在 [儀表板儀表板 ] 清單中，按⼀下 [Buttercup Games - Purchases] 顯⽰該儀表板。2. 按⼀下 [編輯編輯 ]。

您可以使⽤ [UI] 或 [來源] 來編輯儀表板。透過 [UI] 選項，您可以將⾯板與輸⼊新增⾄儀表板。使⽤ [新增⾯板新增⾯板 ] 選項來建⽴新⾯板、將報告新增為⾯板，或從現有儀表板複製。使⽤ [新增輸⼊新增輸⼊ ] 選項來從控制項清單中選擇要新增⾄儀表板的項⽬，包括⽂字、核取⽅塊與時間範圍挑選器。您可以使⽤ [來源] 選項直接編輯⾯板的 XML 來源。我們不會在本教學中討論直接編輯來源。

按⼀下 [新增輸⼊新增輸⼊ ] 並選擇 [時間時間 ]。

59

[時間範圍挑選器] 輸⼊控制項顯⽰在儀表板中。

按⼀下 [時間範圍挑選器] 的 [編輯輸⼊編輯輸⼊ ] 圖⽰。圖⽰看起來像鉛筆。這會開啟⼀組輸⼊控制。會選擇 [時間時間 ] 輸⼊類型。

1. 針對 [標籤標籤 ]，輸⼊ Time range2. 針對 [Token]，取代 field 1，輸⼊ BG_Purchases_Time_Range。

您新增⾄儀表板的控制項擁有稱為輸⼊輸⼊ Token 的識別碼。此步驟會為 [時間範圍挑選器] 重新定義輸⼊Token 的名稱。輸⼊ Token 的預設名稱為 field1、field2、field3 等。當您將控制項新增⾄儀表板時，可以變更輸⼊ Token。為 Token 命名可幫助您輕鬆瞭解您正在使⽤的輸⼊。在此範例中，您會使⽤包含儀表板標題簡短版本的 Token 名稱。

3. 針對 [預設值預設值 ]，將預設時間範圍變更為 [上週上週 ]。60

4. 按⼀下 [套⽤套⽤ ]。您新增⾄儀表板的輸⼊控制項獨⽴於儀表板⾯板。如果您要讓⾯板上的圖表在您變更時間範圍時重新整理，您需要將儀表板⾯板連接⾄ [時間範圍挑選器] 輸⼊控制項。

在儀表板⾯板中，按⼀下 [內置搜尋內置搜尋 ] 圖⽰。

按⼀下 [編輯搜尋編輯搜尋 ]。在 [編輯搜尋] 對話⽅塊中，針對 [時間範圍時間範圍 ]，選擇 [共⽤的時間挑選器共⽤的時間挑選器 (BG_Purchases_Time_Range)]。

按⼀下 [套⽤套⽤ ]。按⼀下 [儲存儲存 ] 儲存對儀表板進⾏的變更。現在，⾯板會連接⾄儀表板中的 [時間範圍挑選器] 輸⼊控制項。此 [時間範圍挑選器] 稱為共⽤時間範圍挑選共⽤時間範圍挑選器器。可強化此⾯板的內置搜尋現在使⽤在共⽤時間範圍挑選器中指定的時間範圍。

您可以擁有包含混合⾯板的儀表板。連接⾄共⽤之 [時間範圍挑選器] 的⾯板，以及顯⽰⾯板所根據之搜尋中指定的時間範圍資料的⾯板。若要將⾯板連接⾄共⽤時間範圍挑選器，請重複以上的 [內置搜尋] > [編輯搜尋] 步驟。

61

接下來的步驟接下來的步驟瞭解將更多⾯板新增⾄儀表板。另請參閱另請參閱《儀表板和視覺化》中的＜關於儀表板編輯器＞

將更多⾯板新增⾄儀表板將更多⾯板新增⾄儀表板在本教學的稍早部分中，您已執⾏搜尋並將它們另存為報告。在本部分中，您將儲存的報告新增⾄現有儀表板。將儲存的報告新增⾄儀表板將儲存的報告新增⾄儀表板先決條件先決條件確定您已顯⽰在建⽴儀表板和⾯板⼯作中建⽴的「「Buttercup Games - Purchases」」儀表板。步驟步驟

1. 若要顯⽰儀表板的清單，請按⼀下 [應⽤套件] 列上的 [儀表板儀表板 ]，然後選擇 [Buttercup Games - Purchases] 儀表板。

2. 按⼀下 [編輯編輯 ]。[編輯儀表板] ⾴⾯隨即開啟。3. 按⼀下 [新增⾯板新增⾯板 ]。

[新增⾯板新增⾯板 ] 側邊欄功能表會在視窗的右側開啟。

62

4. 若要從報告新增⾯板，請按⼀下 [從報告新增從報告新增 ]。您儲存之報告的清單即會開啟。該清單也會顯⽰⼀些內建報告，例如最近⼀⼩時的錯誤。

5. 選擇 [購買趨勢購買趨勢 ]。系統會顯⽰報告的預覽。這是您建⽴的⾛勢圖報告。

63

6. 按⼀下 [新增⾄儀表板新增⾄儀表板 ]。新⾯板會放置在儀表板的底部。[新增⾯板] 側邊欄功能表仍在螢幕上。

7. 選擇 [Comparison of Actions and Conversion Rates by Product] 報告並將其新增⾄儀表板。

8. 9. 關閉 [新增⾯板新增⾯板 ] 側邊欄。

10. 在儀表板上重新排列⾯板。使⽤⾯板拖放列 (位於⾯板上⽅) 拖放⾯板。當您拖曳⾯板時，四點箭頭符號會顯⽰在拖放列上。

11. 在 [編輯儀表板] 視窗中，按⼀下 [儲存儲存 ] 儲存您對儀表板進⾏的變更。您完成的儀表板看起來應該如下圖所⽰。

64

當您將更多⾯板新增到儀表板時，如果您要將其他⾯板連接⾄共⽤時間範圍挑選器，請重複＜將控制項新增⾄儀表板＞中的 [內置搜尋內置搜尋 ] > [編輯搜尋編輯搜尋 ] 步驟。更多儀表板動作更多儀表板動作在您完成儀表板之後，請使⽤右上⾓的按鈕來在儀表板上執⾏動作，例如：

匯出儀表板將儀表板轉換成 HTML編輯與其他使⽤者共⽤儀表板的權限

接下來的步驟接下來的步驟恭喜您！您已經完成了「搜尋教學」。若要進⼀步瞭解，請參閱其他資源。

其他資源其他資源其他資源其他資源您可以繼續使⽤教學資料、執⾏更多搜尋以及建⽴更多儀表板。下列章節提供其他資訊與連結。Splunk 社群社群Splunk 社群令⼈驚喜。Splunk 回答。使⽤者群組。部落格。在 #splunk 頻道的 EFNET IRC 中尋找要與之交談的其他使⽤者與 splunker。您需要的所有內容都在社群⼊⼝網站中。搜尋資源搜尋資源本教學為巡覽搜尋介⾯及使⽤搜尋語⾔的簡介。它將引導您執⾏⼀些基本搜尋以及將結果另存為報告和儀表板，但您可利⽤ Splunk 軟體進⾏的⼯作遠遠超過這些。如需詳細資訊，請參閱下列⼿冊：

《搜尋⼿冊》《搜尋⼿冊》：說明如何搜尋並使⽤ Splunk 搜尋處理語⾔ (SPL™)。請參閱此處來取得撰寫 Splunk 搜尋以計算統計資料、評估欄位以及報告搜尋結果的較詳盡範例。《搜尋參考》《搜尋參考》：為尋找包含完整語法、說明與使⽤範例之搜尋命令⽬錄的使⽤者提供參考。

Splunk ⽂件⽂件

65

Splunk 有⼤量⽂件。教學。使⽤案例。管理員、開發⼈員與使⽤者的⼿冊。SDK 與命令語法⽂件。搜尋、儀表板和視覺化、報告、樞紐分析與警⽰具有單獨的⼿冊。您可以在「Splunk ⽂件」網站中找到所有資訊。Splunk Enterprise 系統需求系統需求《搜尋教學》會顯⽰ Splunk Enterprise 系統需求的快照。如需需求的說明，請參閱《安裝⼿冊》中的＜系統需求＞。教育教育若要進⼀步瞭解 Splunk 功能及其⽤法，請參閱 Splunk 的教育影⽚和課程選集。向我們傳送意⾒反應向我們傳送意⾒反應在本教學每⼀⾴的底部，以及所有 Splunk ⽂件中，都有快速表單，您可以⽤來向我們傳送意⾒反應。

66