Splunk 标签

标签用于将名称分配给特定的字段和值组合。这些字段可以是事件类型、主机、源或源类型等。你还可以使用标签将一组字段值组合在一起，以便你可以通过一个命令搜索它们。例如，你可以将星期一生成的所有不同文件标记为名为 mon_files 的标记。

要找到我们要标记的字段值对，我们需要展开事件并找到要考虑的字段。下图显示了我们如何展开事件以查看字段：

创建标签

我们可以通过使用将标签值添加到字段值对来创建标签 编辑标签 选项如下图。我们选择 Actions 列下的字段。

下一个屏幕提示我们定义标签。对于 Status 字段，我们选择状态值 503 或 505 并分配一个名为 server_error 的标签，如下所示。我们必须通过选择两个事件来一一完成，每个事件的状态值为 503 和 505。下图显示了状态值为 503 的方法。我们必须对状态值为的事件重复相同的步骤505。

使用标签搜索

创建标签后，我们只需在搜索栏中输入标签名称即可搜索包含该标签的事件。在下图中，我们看到所有状态为：503 或 505 的事件。