آموزش اسپلانک

 Raw event searches and transforming searches

1- جستجوی داده های خام 

این  داده ها از ایندکسر ها بدست میایند و هنگامی که دنبال یک مشکل میگردید به درد میخورند برای مثال :

checking error codes, correlating events, investigating security issues, and analyzing failures.

این جستجو ها الزاما کامندنیستد (غیر از خود Search)

2-transforming searches

دراین جستجو محاسباتی روی جستجو ها انجام میگردددر این حالت اول شما دادههای خام را از ایندکس در میآورید و سپس به یکسری کامند ها ارسال میکنید مثال:

 getting a daily count of error events, counting the number of times a specific user has logged in, or calculating the 95th percentile of field values

اگر از زاویه ای دیگر به جستجو ها نگاه کنیم دو نوع جستجوی دیگر هم خواهیم دید :

Sparse searches:

در این نوع جستجو دنبال یک رویدا خاص که بصورت کم اتفاق افتاده است میگردیم .چون سوزنی در انبار کاه 

مثال:searching for a specific and unique IP address or error code

Dense searches:

پاسخ این جستجو گزارشی از داده های زیاد است . مثال 
 counting the number of errors that occurred or finding all events from a specific host