V mém předchozím blogu jsem mluvil o 3 znalostních objektech: Splunk Timechart, Data model and Alert související s vykazováním a vizualizací dat. Pokud se chcete podívat, můžete se obrátit tady . V tomto blogu vysvětlím Splunk události, typy událostí a Splunk značky.
Tyto znalostní objekty pomáhají obohatit vaše data, aby se usnadnilo jejich vyhledávání a vytváření zpráv.
Pojďme tedy začít se Splunk Events.
Splunk události
Událost se týká jakékoli jednotlivé části dat. Vlastní data, která byla předána serveru Splunk, se nazývají Splunk Events. Tato data mohou být v jakémkoli formátu, například: řetězec, číslo nebo objekt JSON.
Ukážu vám, jak události vypadají ve Splunku:
Jak vidíte na výše uvedeném snímku obrazovky, existují výchozí pole (Host, Zdroj, Sourcetype a Čas), která se přidají po indexování. Rozumíme těmto výchozím polím:
- Host: Host je název IP adresy zařízení nebo zařízení, odkud data pocházejí. Na výše uvedeném snímku obrazovkyMůj strojje hostitelem.
- Zdroj: Zdroj je zdrojem dat hostitele. Je to úplná cesta nebo soubor nebo adresář v počítači.
Například:C: Splunkemp_data.txt - Sourcetype: Sourcetype identifikuje formát dat, ať už jde o soubor protokolu, XML, CSV nebo pole vlákna. Obsahuje datovou strukturu události.
Například:údaje o zaměstnanci - Index: Jedná se o název indexu, kde jsou indexována nezpracovaná data. Pokud nic neurčíte, přejde do výchozího indexu.
- Čas: Je to pole, které zobrazuje čas, kdy byla událost vygenerována. Je čárový kód s každou událostí a nelze jej změnit. Chcete-li změnit její prezentaci, můžete ji po určitou dobu přejmenovat nebo rozdělit.
Například:3/4/16 7:53:51představuje časové razítko konkrétní události.
Nyní se podívejme, jak vám Splunk typy událostí pomáhají seskupovat podobné události.
Splunk typy událostí
Předpokládejme, že máte řetězec obsahující jméno zaměstnance aID zaměstnancenaa chcete prohledat řetězec pomocí jediného vyhledávacího dotazu, než abyste je prohledávali jednotlivě. Zde vám mohou pomoci typy Splunk Event. Seskupují tyto dvě samostatné události Splunk a tento řetězec můžete uložit jako jediný typ události (Employee_Detail).
otázky ohledně cloudových služeb služby salesforce
- Typ události Splunk odkazuje na soubor dat, který pomáhá při kategorizaci událostí na základě společných charakteristik.
- Jedná se o pole definované uživatelem, které skenuje obrovské množství dat a vrací výsledky hledání ve formě řídicích panelů. Na základě výsledků vyhledávání můžete také vytvářet upozornění.
Pamatujte, že při definování typu události nemůžete použít znak kanálu ani dílčí hledání. K typu události však můžete přidružit jednu nebo více značek.Nyní se podívejme, jak jsou tyto typy událostí Splunk vytvářeny.
Existuje několik způsobů, jak vytvořit typ události:
- Pomocí vyhledávání
- Pomocí nástroje Build Type Type Utility
- Používání Splunk Web
- Konfigurační soubory (eventtypes.conf)
Pojďme se podívat podrobněji, abychom tomu správně porozuměli:
jeden. Použití vyhledávání: Můžeme vytvořit typ události napsáním jednoduchého vyhledávacího dotazu.
Projděte si následující kroky a vytvořte jeden:
> Spusťte hledání pomocí vyhledávacího řetězce
Například: index = emp_details emp_id = 3
> Klikněte na Uložit jako a vyberte Typ události.
Chcete-li lépe porozumět, můžete se podívat na následující snímek obrazovky:
2. Použití nástroje Build Type Type Utility: Nástroj Vytvořit typ události umožňuje dynamicky vytvářet typy událostí na základě Splunk událostí vrácených vyhledáváními. Tento nástroj také umožňuje přiřadit konkrétní barvy typům událostí.
Tento nástroj najdete ve výsledcích hledání. Projdeme si následující kroky: 
Krok 1: Otevřete rozbalovací nabídku událostí
Krok 2: Najděte šipku dolů vedle časového razítka události
Krok 3: Klikněte na Vytvořit typ události
Jakmile na výše uvedeném snímku obrazovky kliknete na možnost „Vytvořit typ události“, vrátí vybranou sadu událostí na základě konkrétního vyhledávání.
3. Používání Splunk Web: Toto je nejjednodušší způsob, jak vytvořit typ události.
K tomu můžete postupovat podle těchto kroků:
' Jdi do nastavení
»Přejít na Evjent typy
»Klikněte na Nový
Vezmu si stejný příklad zaměstnance, abych to usnadnil.
Vyhledávací dotaz by byl v tomto případě stejný:
index = emp_details emp_id = 3
rozdíl mezi nástavci a nářadím
Pro lepší pochopení si přečtěte následující snímek obrazovky:
Čtyři. Konfigurační soubory (eventtypes.conf): Typy událostí můžete vytvořit přímou úpravou konfiguračního souboru eventtypes.conf v $ SPLUNK_HOME / etc / system / local
Například: „Employee_Detail“
Pro lepší pochopení si přečtěte následující snímek obrazovky:
Nyní byste pochopili, jak jsou typy událostí vytvářeny a zobrazovány. Dále se naučíme, jak lze značky Splunk používat a jak přinášejí jasnost vašim datům.
Splunk tagy
Musíte si být vědomi toho, co značka obecně znamená. Většina z nás používá funkci označování na Facebooku k označení přátel v příspěvku nebo na fotografii. I ve Splunku funguje značkování podobným způsobem. Pochopme to na příkladu. Máme pole emp_id pro index Splunk. Nyní chcete poskytnout značku (Employee2) dvojici emp_id = 2 pole / hodnota. Můžeme vytvořit značku pro emp_id = 2, kterou lze nyní prohledávat pomocí Employee2.
- Značky Splunk se používají k přiřazení názvů konkrétním polím a kombinacím hodnot.
- Jedná se o nejjednodušší metodu pro získání výsledků ve dvojici při vyhledávání. Jakýkoli typ události může mít více značek, aby získal rychlé výsledky.
- Pomáhá hledatskupiny dat událostí efektivněji.
- Označování se provádí na páru klíč-hodnota, který pomáhá získat informace související s konkrétní událostí, zatímco typ události poskytuje informace o všech událostech Splunk s ním spojených.
- K jedné hodnotě můžete také přiřadit více značek.
Podívejte se na snímek obrazovky na pravé straně a vytvořte značku Splunk.
Přejděte do Nastavení -> Značky
Možná jste pochopili, jak je značka vytvořena. Pojďme nyní pochopit, jak jsou spravovány značky Splunk. Na stránce Značka v části Nastavení jsou tři zobrazení:
1. Seznam podle dvojice hodnot pole
2. Seznam podle názvu značky
3. Všechny jedinečné objekty značek
Pojďme se dostat do více podrobností a pochopit různé způsoby správya získejte rychlý přístup k asociacím, které se vytvářejí mezi tagy a páry pole / hodnota.
jeden. Seznam podle dvojice hodnot polí: To vám pomůže zkontrolovat nebo definovat sadu značek pro pár pole / hodnota. Můžete vidět seznam takových párování pro konkrétní značku.
Pro lepší pochopení si přečtěte následující snímek obrazovky:
2. Seznam podle názvu značky: Pomůže vám zkontrolovat a upravit sady dvojic pole / hodnota. Seznam párování polí / hodnot pro konkrétní značku najdete v zobrazení „seznam podle názvu značky“ a kliknutím na název značky. Tím se dostanete na stránku podrobností značky.
Příklad: Otevřete stránku podrobností značky 2 zaměstnanců.
Pro lepší pochopení si přečtěte následující snímek obrazovky:
3. Všechny jedinečné objekty značek: Pomůže vám poskytnout všechny jedinečné názvy značek a párování polí a hodnot ve vašem systému. Můžete vyhledat konkrétní značku a rychle zobrazit všechny páry pole / hodnota, ke kterým je přidružena. Můžete snadno udržovat oprávnění, abyste povolili nebo zakázali konkrétní značku.
Pro lepší pochopení si přečtěte následující snímek obrazovky:
rozdíl mezi třídou a rozhraním
Nyní existují 2 způsoby, jak vyhledávat značky:
- Pokud potřebujeme vyhledat značku spojenou s hodnotou v jakémkoli poli, můžeme použít:
značka =
Ve výše uvedeném příkladu by to bylo: tag = employee2 - Pokud hledáme značku spojenou s hodnotou v zadaném poli, můžeme použít:
tag :: =
Ve výše uvedeném příkladu by to bylo: tag :: emp_id = employee2
V tomto blogu jsem vysvětlil tři znalostní objekty (Splunk události, typ události a značky), které vám usnadní hledání. V mém dalším blogu vysvětlím některé další znalostní objekty, jako jsou Splunk pole, jak funguje extrakce polí a vyhledávání Splunk. Doufám, že se vám líbilo čtení mého druhého blogu o znalostních objektech.
Chcete se naučit Splunk a implementovat ho do svého podnikání? Podívejte se na naše zde přichází s živým tréninkem vedeným instruktorem a zkušenostmi z reálných projektů.