6、数据处理与可视化：表格、图表、字段及仪表盘的应用

数据处理与可视化：表格、图表、字段及仪表盘的应用

1. 字段操作与日志级别提取

在数据处理中，我们可以利用字段参数对事件中的字段进行操作。例如，借助以下查询，我们能基于事件中 name=value 对自动创建的 ip 字段开展工作：

sourcetype="impl_splunk_gen"
  | rex field=ip "(?P<subnet>.*)\."
  | chart values(subnet) by user network

在提取日志级别时，以往我们搜索原始单词 “error” 时，很多事件并非真正的错误，只是消息中包含该词。比如：

2012-03-21T18:59:55.472-0500 INFO This is not an error
2012-03-21T18:59:42.907-0500 ERROR Something bad happened

我们可能仅关注第二条事件。通过提取字段，无需重新索引数据，就能轻松创建字段，用于搜索事件特定位置出现的值。

1.1 使用提取字段界面

定义字段有多种方式，我们先来看使用提取字段界面的方法。操作步骤如下：
1. 选择任意事件旁边工作流操作菜单中的 “Extract Fields”，打开提取字段视图。
2. 在该视图中，提供示例值，如 “ERROR”、“WARN” 和 “INFO”，Splunk 会尝试构建匹配的正则表达式。
3. 在 “Sample extractio