[Splunk] 검색 - 필드 활용 및 이전 검색문 활용

 이번 포스팅에서는 검색 결과를 통해 얻어낸 필드의 할용 방법과 검색 시간을 단축시킬 수 있도록 이전 검색문들을 수정하여 재사용 할 수 있는 방법에 대하여 다룰 예정이다.

---

1. 사이드바를 통해 검색결과 필드별 확인 및 검색항목 추가

 검색을 스마트 모드/상세모드(①에서 설정)로 실행하여 검색화면이 나오면 좌측 사이드바(②)에 검색 결과 이벤트들의 필드 정보들이 나타나게 된다. 사이드바의 필드 중 값에 대한 정보가 필요하거나 검색 조건에 추가를 원하는 필드를 선택하면 해당 필드의 값의 빈도에 대한 정보가 나온다. 그 중 검색에 추가를 원하는 값을 클릭하면 ‘필드명=값’ 형태의 쿼리가 추가된다.

* 고속모드 – 검색 성능을 우선하여 필드 탐색(기본 필드가 아닌 다른 필드를 추출하는 것)을 하지 않아 시간이 더 빠름

* 상세모드 – 검색 가능한 모든 필드를 탐색하는 대신 시간이 더 오래걸림

* 스마트모드 – 상황에 따라 검색모드(변환 명령어를 포함하지 않은 경우)와 상세모드(변환 명령어를 포함하는 경우)를 선택하여 검색하는 모드

2. 이전 검색문을 재사용/수정을 위한 검색 내역 활용

① Splunk의 검색 페이지에서 하단의 ‘> 검색 내역 펼치기’ 항목을 통해 이전에 실행한 검색문을 확인할 수 있다. 검색을 원하는 검색문을 검색에 추가 버튼을 클릭하면 검색창에 검색문이 추가 된다.

② ‘작업’ 기능과는 다르게 검색문만 저장되므로 검색창에 검색문이 추가되면 시간범위는 사용자가 원하는 시간범위로 지정하여 검색을 실행해야 한다.