IT专业搜索引擎欢迎使用splunk3.3第一节：简介使用手册入门学习不是用来自学的文档，需要老师指导不需要分发课程目标理解什么是splunk以及他是如何工作了解splunkweb如何浏览搜索结果理解splunk搜索语言创建现有搜索条件和警示收集和分享团队使用标记和其他技术的相关知识采用最实用的练习知道在那儿，如何获得帮助Splunk能做什么索引搜索报警报表共享延伸能力延伸能力延伸能力安全性第二节访问splunkSplunk访问方式Splunkweb接口命令行接口应用程序级脚本Splunk工具条用户角色与权限不同的用户类型对应不同的访问权限Splunk系统管理员能改变用户类型普通用户·不能搜索其他用户历史，或内部索引·不能创建警报·不能定义用户，增加数据·不能标记权限用户·能搜索其他用户历史，或内部索引·能创建警报·不能定义用户，增加数据系统管理员·能做权限用户做的任何事情·能创建新用户·能导入数据·其他更多超级管理员·能定义角色Splunkweb主界面登录页面·首先映入眼帘是图表，报表和搜索结果缺省界面·连接到指南·有用搜索完整配置·创建全新·你能个性化定制·管理员配置搜索框任何类型事情，――就像一个web搜索引擎·允许限制时间范围·一些有益建议搜索内容加入前导通配符“*”这样就不受限制你想要的结果如果搜索一个问题，试试“fail*”or“error”类型前尽可能少的字符试试任何你期望的文字：名字，IDs,emailIP等逐项搜索在搜索事件加入任何事项或关键字关键字不区分大小写通配符·能用在任何地方·*,fail*,*fail*引号标记·搜索短语·“foobar“创建搜索支持多关键字，无需在关键字中间加AND·例如errorfailed404布尔运算必须大写（AND,OR,NOT）在OR和复杂表达式之间用圆括号·“authenticationfailure”AND(user=rootORUSER=TEST)赋值顺序：（），OR,AND,NOT限制为索引搜索搜索修饰索引＝索引名索引＝主要的（缺省情况）索引＝样本数据索引＝解决内部歧义性索引＝内部跟踪索引信息管理员增加的索引应用程序增加的索引实验第三节浏览搜索结果滚动到搜索结果针对任何搜索出来的结果·搜索项高亮·结果条数，日期，摘要同时产生Splunk通过滚动让你找到最想要的结果红线表明当前列表的时间范围按结果浏览滚动到搜索结果，标出关键字并且高亮显示·Splunk在一个项目中索引所有的关键字利用结果点击项目添加到搜索多个关键字隐含and再次点击从搜索里移除·按住alt键点击从搜索中排除的项目ANDNOT快速清除不需要的项目按时间浏览如果你知道事件发生的时间你可以用查找键搜索你能用时间限制搜索:比如天,小时,分等时间下限用搜索修饰符：例如几秒前几天前几小时前usingsearchmodifiers-startminutesago=x-starthoursago=x-startdaysago=x用时间段用时间戳在你的搜索结果里设置自定义时间范围用时间段浏览提供一个可见的指示用于精确搜索通过双击时间阀放大放大缩小图标点击或者拖动用于选择更多的时间段单击一条限制搜索这个时间段按住shift一次选择多个时间段单击左右箭头显示更多时间的活动选择所有连接返回到原始时间段用时间戳你有一个错误你想知道它在什么时候发生的点击事件的时间戳清除搜索框并返回返回在这个时间的所有事件时刻快照保存您的搜索作为快照能恢复到任何一个早期搜索追溯每一步参数定制显示时刻复选框控制时间开关这个选项用于快速搜索结果显示字段隐藏或显示特殊字段Fieldsoff:Fieldson:这个也是用于快速搜索结果包装结果用于控制视图每个事件占一行重要的信息在前面几行练习未翻译第四节字段使用字段事件的一部分，能用到事件中也能用于搜索一些字段被保存到索引中：资源资源类型主机分界符，还有其它被splunk系统管理员定义的一些字段是在搜索中提取的：自动识别名称与值对，你创建的事件类型，也能被系统管理员配置Splunk允许你通过字段值过滤结果按字段过滤通过字段过滤在当前搜索中选择结果子集每个字段都有一个下拉菜单默认有10个值显示选择一个字段用于过滤结果再次打开用于更新或者改变当前的过滤条件你能生成报表生成器从过滤到搜索增加到搜索一但你发现正确的过滤点击连接增加到你的搜索不要忘记清除过滤器第五节标点及事件类型标点及事件类型标点是：一个字段基于在事件中的标点字符自动分派给事件，是一种分类数据发现相似事件的手段事件类型是：基于搜索的字段；是一重分类搜索数据与警示的手段，能被用户创建，帮助用户获取与分享知识标点符号例子从字段菜单中选择标点符号点击其中一个符号指明用相同符号标示的事件是相似的保存标点符号作为一个事件如果标点符号与搜索项关联一事件集，保