В предыдущем блоге я говорил о 3 объектах знаний: Временная диаграмма Splunk, модель данных и оповещение которые были связаны с отчетностью и визуализацией данных. Если вы хотите посмотреть, вы можете сослаться на Вот . В этом блоге я собираюсь объяснить события Splunk, типы событий и теги Splunk.
Эти объекты знаний помогают обогатить ваши данные, чтобы упростить их поиск и составление отчетов.
Итак, приступим к Splunk Events.
Splunk События
Событие относится к любому отдельному фрагменту данных. Пользовательские данные, которые были отправлены на сервер Splunk, называются событиями Splunk. Эти данные могут быть в любом формате, например: строка, число или объект JSON.
вопросы собеседования по службе продаж
Позвольте мне показать вам, как события выглядят в Splunk:
Как вы можете видеть на скриншоте выше, есть поля по умолчанию (Host, Source, Sourcetype и Time), которые добавляются после индексации. Давайте разберемся с этими полями по умолчанию:
- Хост: Хост - это имя IP-адреса машины или устройства, откуда поступают данные. На приведенном выше снимке экранаМоя машинахозяин.
- Источник: Источник - это источник данных хоста. Это полный путь к файлу или каталогу на машине.
Например:C: Splunkemp_data.txt - Тип источника: Тип источника определяет формат данных, будь то файл журнала, XML, CSV или поле потока. Он содержит структуру данных события.
Например:employee_data - Индекс: это имя индекса, по которому индексируются необработанные данные. Если вы ничего не укажете, он будет включен в индекс по умолчанию.
- Время: это поле, в котором отображается время, когда было сгенерировано событие. Он имеет штрих-код для каждого события и не может быть изменен. Вы можете переименовать или нарезать его на некоторое время, чтобы изменить его представление.
Например:04.03.16 7:53:51представляет отметку времени конкретного события.
Теперь давайте узнаем, как типы событий Splunk помогают группировать похожие события.
Типы событий Splunk
Предположим, у вас есть строка, содержащая имя сотрудника иидентификатор сотрудникаки вы хотите искать строку, используя один поисковый запрос, а не искать их по отдельности. Здесь вам могут помочь типы событий Splunk. Они группируют эти два отдельных события Splunk, и вы можете сохранить эту строку как один тип события (Employee_Detail).
- Тип события Splunk относится к набору данных, который помогает классифицировать события на основе общих характеристик.
- Это определяемое пользователем поле, которое просматривает огромное количество данных и возвращает результаты поиска в виде информационных панелей. Вы также можете создавать оповещения на основе результатов поиска.
Обратите внимание, что вы не можете использовать вертикальную черту или дополнительный поиск при определении типа события. Но вы можете связать один или несколько тегов с типом события.Теперь давайте узнаем, как создаются эти типы событий Splunk.
Есть несколько способов создать тип события:
- Использование поиска
- Использование служебной программы для создания типов событий
- Использование Splunk Web
- Файлы конфигурации (eventtypes.conf)
Давайте углубимся в детали, чтобы понять это правильно:
один. Использование поиска: Мы можем создать тип события, написав простой поисковый запрос.
Чтобы создать его, выполните следующие шаги:
> Выполните поиск по строке поиска
Например: index = emp_details emp_id = 3
> Щелкните «Сохранить как» и выберите «Тип события».
Вы можете обратиться к приведенному ниже снимку экрана, чтобы лучше понять:
2. Использование служебной программы для создания типов событий: Утилита Build Event Type позволяет динамически создавать типы событий на основе событий Splunk, возвращаемых поиском. Эта утилита также позволяет назначать определенные цвета типам событий.
Вы можете найти эту утилиту в результатах поиска. Давайте проделаем следующие шаги: 
Шаг 1. Откройте раскрывающееся меню событий.
Шаг 2. Найдите стрелку вниз рядом с отметкой времени события
Шаг 3. Нажмите 'Создать тип события'.
Как только вы нажмете на «Создать тип события», показанный на приведенном выше снимке экрана, он вернет выбранный набор событий на основе определенного поиска.
3. Использование Splunk Web: Это самый простой способ создать тип события.
Для этого вы можете выполнить следующие действия:
' Перейдите в настройки
»Перейти к EvявляетсяNT Типы
»Нажмите« Создать ».
Чтобы упростить задачу, позвольте мне взять тот же пример с сотрудником.
В этом случае поисковый запрос будет таким же:
index = emp_details emp_id = 3
Обратитесь к приведенному ниже снимку экрана, чтобы лучше понять:
Четыре. Файлы конфигурации (eventtypes.conf): Вы можете создавать типы событий, напрямую редактируя файл конфигурации eventtypes.conf в $ SPLUNK_HOME / etc / system / local
Например: «Employee_Detail».
Обратитесь к приведенному ниже снимку экрана, чтобы лучше понять:
К настоящему времени вы бы поняли, как создаются и отображаются типы событий. Затем давайте узнаем, как можно использовать теги Splunk и как они делают ваши данные понятными.
Теги Splunk
Вы должны знать, что означает тег в целом. Большинство из нас используют функцию добавления тегов в Facebook, чтобы отмечать друзей в сообщениях или фотографиях. Даже в Splunk теги работают аналогичным образом. Давайте разберемся в этом на примере. У нас есть поле emp_id для индекса Splunk. Теперь вы хотите предоставить тег (Employee2) для пары поле / значение emp_id = 2. Мы можем создать тег для emp_id = 2, который теперь можно искать с помощью Employee2.
- Теги Splunk используются для присвоения имен определенным полям и комбинациям значений.
- Это самый простой способ получить результаты попарно при поиске. Любой тип события может иметь несколько тегов для быстрого получения результатов.
- Помогает искатьгруппы данных событий более эффективно.
- Маркировка выполняется для пары ключ-значение, которая помогает получить информацию, относящуюся к конкретному событию, тогда как тип события предоставляет информацию обо всех связанных с ним событиях Splunk.
- Вы также можете назначить несколько тегов одному значению.
Посмотрите на снимок экрана справа, чтобы создать тег Splunk.
Зайдите в Настройки -> Теги
Теперь вы могли понять, как создается тег. Давайте теперь разберемся, как управляются теги Splunk. На странице тегов в разделе 'Настройки' есть три представления:
1. Список по паре значений поля
2. Список по имени тега
3. Все уникальные объекты тегов
Давайте более подробно рассмотрим различные способы управленияи получите быстрый доступ к связям между тегами и парами поле / значение.
один. Список по паре значений поля: Это поможет вам просмотреть или определить набор тегов для пары поле / значение. Вы можете увидеть список таких пар для конкретного тега.
Обратитесь к приведенному ниже снимку экрана, чтобы лучше понять:
2. Список по имени тега: Это помогает вам просматривать и редактировать наборы пар поле / значение. Вы можете найти список пар поле / значение для конкретного тега, перейдя в режим просмотра «список по имени тега» и затем щелкнув имя тега. Вы попадете на страницу сведений о теге.
Пример: откройте страницу сведений о теге сотрудника 2.
Обратитесь к приведенному ниже снимку экрана, чтобы лучше понять:
3. Все уникальные объекты тегов: Это поможет вам предоставить все уникальные имена тегов и пары поле / значение в вашей системе. Вы можете выполнить поиск по определенному тегу, чтобы быстро увидеть все пары поле / значение, с которыми он связан. Вы можете легко сохранить разрешения, чтобы включить или отключить определенный тег.
Обратитесь к приведенному ниже снимку экрана, чтобы лучше понять:
разница между css и css3
Теперь есть 2 способа поиска по тегам:
- Если нам нужно найти тег, связанный со значением в любом поле, мы можем использовать:
tag =
В приведенном выше примере это будет: tag = employee2 - Если мы ищем тег, связанный со значением в указанном поле, мы можем использовать:
tag :: =
В приведенном выше примере это будет: tag :: emp_id = employee2
В этом блоге я объяснил три объекта знаний (события Splunk, тип события и теги), которые помогают упростить поиск. В моем следующем блоге я объясню еще несколько объектов знаний, таких как поля Splunk, как работает извлечение полей и поиск в Splunk. Надеюсь, вам понравилось читать мой второй блог об объектах знаний.
Вы хотите изучить Splunk и внедрить его в свой бизнес? Ознакомьтесь с нашими здесь, это сопровождается живым обучением под руководством инструктора и опытом реальных проектов.