Macro 在Splunk中就相当于一段可重复使用的SPL(Search Processing Language),你可以在你的搜索中进行引用。 在搜索语句中,用反单引号(`)代表引用macro,如 `timformat`。
这里将时间转换作为一个例子来看怎么在Splunk中配置一个Macro,即把原来系统的Unix时间转换为可读的时间格式 |fieldformat "_time"=strftime('_time',"%c"),然后可以在任何搜索中引用这一段SPL就可以实现日期的转换而减少搜索语句的长度。
1. 首先在Settings中找到Advanced Search,进入Advanced Search后,有两个选项 ,点击Search macros旁边的Add new就可以进入macro设置界面。
2. 配置界面有两个是必填项目,Name 和 Definition,分别是这个Macro在搜索中被引用时的名字和被重复使用的这一段SPL语句。
3. 保存并设置该Macro的权限。
4. 在搜索界面试验一下刚刚配置的Macro是否可以正常使用,对比一下使用了Macro `timeformat`和没有使用的搜索结果的区别,由于这里没有改变_time 的名字,只是改变了_time的时间格式。
Macro不仅可以复用一段SPL,而且这段SPL还可以带参数,使用场景要复杂一些。总的来说Splunk的搜索功能有很多可以研究学习的地方值得深入挖掘。
