Module 12: Creating and Using Lookups
Trong kết quả của một truy vấn tìm kiếm, đôi khi chúng ta nhận được các giá trị có thể không truyền đạt rõ ràng ý nghĩa của trường.
Ví dụ: chúng ta có thể nhận được một trường liệt kê giá trị của id sản phẩm dưới dạng kết quả số. Những con số này sẽ không cho chúng ta biết nó là loại sản phẩm nào. Nhưng nếu liệt kê tên sản phẩm cùng với id sản phẩm, điều đó mang lại cho chúng ta có một báo cáo tốt giúp hiểu ý nghĩa của kết quả tìm kiếm. Việc liên kết các giá trị của một trường với một trường có cùng tên trong tập dữ liệu khác bằng cách sử dụng các giá trị bằng nhau từ cả hai tập dữ liệu được gọi là quá trình lookup.
• Lookups cho phép bạn thêm nhiều trường hơn vào sự kiện của mình, chẳng hạn như:
- Mô tả cho mã trạng thái HTTP (“File Not Found”, “Service Unavailable")
- Giá bán cho sản phẩm
- Tên người dùng, địa chỉ IP và ID máy trạm.
• Sau khi cấu hình tra cứu, bạn có thể sử dụng các trường tra cứu trong tìm kiếm
• Các trường tra cứu cũng xuất hiện trong thanh "Field"
• Giá trị trường tra cứu có phân biệt chữ hoa chữ thường theo mặc định
Ví dụ: một tệp lookup có dạng như sau:
Ví dụ này hiển thị một tra cứu tệp .csv được sử dụng để liên kết sản phẩm thông tin với productId:
Hàng đầu tiên đại diện cho tên trường: productId, product_name, categoryId, price, sale_price, Code
Tất cả các trường được liệt kê ở trên là có sẵn để tìm kiếm sau tra cứu được xác định - Đây là các trường đầu ra
Để tạo một lookup gồm các bước:
- Tải lên tệp cần thiết để tra cứu
- Xác định kiểu tra cứu
- Tùy chọn, định cấu hình tra cứu để chạy tự động
1. Thêm một tệp bảng lookup mới
Vào Settings > Lookups
Lookup Table File > Click Add New
Chọn destination app > Duyệt và chọn tệp .csv để sử dụng cho bảng tra cứu > Nhập tên cho lookup file> Save
*Inputlookup Command: Sử dụng inputlookup command để tải kết quả từ một tra cứu tĩnh
Note: Khi sử dụng inputlookup , bạn có thể chỉ định tên tệp kết thúc bằng .csv hoặc tra cứu tên định nghĩa.
2. Tạo một Lookup Definition
Vào Settings > Lookups
Lookup definitions> Click Add New
Chọn destination app > Name the lookup definition > Chọn kiểu tra cứu > chọn một tệp tra cứu >Save
Áp dụng các tùy chọn tra cứu nâng cao : Advanced options
- Minimum matches: số lượng trùng khớp tối thiểu cho mỗi giá trị tra cứu đầu vào (mặc định là 0 matches)
- Maximum matches: số lượng trùng khớp tối đa cho mỗi giá trị đầu vào (nhập số từ 1-1000, giá trị mặc định là 1000, nếu dựa theo thời gian giá trị mặc định là 1))
- Default matches: Giá trị mặc định để xuất đầu ra (Khi có ít hơn số lượng khớp tối thiểu cho bất kỳ đầu vào nhất định nào, phần mềm Splunk cung cấp giá trị này một hoặc nhiều lần cho đến khi đạt đến mức tối thiểu.)
- Case sensitive match: Bật/ tắt phân biệt chữ hoa chữ thường cho tất cả các trường trong bảng tra cứu
- Batch index query: Chọn hộp kiểm này nếu bạn đang sử dụng tệp tra cứu lớn có thể ảnh hưởng đến hiệu suất.
- Match type: Loại đối sánh: định dạng nguồn cung cấp cho đối sánh không chính xác
- Filter lookup: Lọc kết quả từ bảng tra cứu trước khi trả về dữ liệu.
* Lookup commnand
Nếu tra cứu không được định cấu hình để chạy tự động, ta sử dụng lệnh lookup trong tìm kiếm để sử dụng các trường tra cứu
Đối số OUTPUT là tùy chọn
- Nếu OUTPUT không được chỉ định, tra cứu trả về tất cả các trường từ tra cứu bảng ngoại trừ các trường khớp
- Nếu OUTPUT được chỉ định, các trường sẽ ghi đè các trường hiện có
Các trường tra cứu đầu ra chỉ tồn tại cho tìm kiếm hiện tại
- Sử dụng OUTPUTNEW khi bạn không muốn ghi đè các trường hiện có
Sử dụng lookup command:
3. Tạo một automatic lookup
Vào Settings > Lookups
Automatic Lookup > Click Add New
Chọn destination app> Nhập Tên tra cứu > Chọn bảng Tra cứu >Chọn host, source hoặc sourcetype để áp dụng cho việc tra cứu và chỉ định tên> Xác định đầu vào trường lookup
Sử dụng automatic lookup :
Để sử dụng tra cứu tự động, hãy chỉ định các trường đầu ra trong tìm kiếm
Last edited:
