logo

Splunk Knowledge Objects: Splunk Events ประเภทเหตุการณ์และแท็ก

หลัก ข้อมูลใหญ่ Splunk Knowledge Objects: Splunk Events ประเภทเหตุการณ์และแท็ก



ในบล็อกสอน Splunk นี้คุณจะได้เรียนรู้วัตถุความรู้ต่างๆเช่น Splunk Events, Event types และ Splunk Tags

ในบล็อกก่อนหน้าของฉันฉันพูดเกี่ยวกับวัตถุความรู้ 3 ชิ้น: Splunk Timechart โมเดลข้อมูลและการแจ้งเตือน ที่เกี่ยวข้องกับการรายงานและการแสดงข้อมูล ในกรณีที่คุณต้องการดูคุณสามารถอ้างอิงได้ ที่นี่ . ในบล็อกนี้ฉันจะอธิบาย Splunk Events ประเภทเหตุการณ์และ Splunk Tags
วัตถุความรู้เหล่านี้ช่วยเพิ่มพูนข้อมูลของคุณเพื่อให้ง่ายต่อการค้นหาและรายงาน

เริ่มกันเลยกับ Splunk Events

Splunk เหตุการณ์

เหตุการณ์หมายถึงข้อมูลแต่ละส่วน ข้อมูลแบบกำหนดเองที่ถูกส่งต่อไปยัง Splunk Server เรียกว่า Splunk Events ข้อมูลนี้สามารถอยู่ในรูปแบบใดก็ได้ตัวอย่างเช่นสตริงตัวเลขหรือออบเจ็กต์ JSON





ให้ฉันแสดงให้คุณเห็นว่าเหตุการณ์มีลักษณะอย่างไรใน Splunk:

splunk-events-edureka
ดังที่คุณเห็นในภาพหน้าจอด้านบนมีฟิลด์เริ่มต้น (โฮสต์, แหล่งที่มา, Sourcetype และเวลา) ซึ่งได้รับการเพิ่มหลังจากการสร้างดัชนี ให้เราเข้าใจฟิลด์เริ่มต้นเหล่านี้:



  1. โฮสต์: โฮสต์คือชื่อที่อยู่ IP ของเครื่องหรืออุปกรณ์ซึ่งเป็นที่มาของข้อมูล ในภาพหน้าจอด้านบนเครื่องของฉันเป็นเจ้าภาพ
  2. แหล่งที่มา: แหล่งที่มาคือที่มาของข้อมูลโฮสต์ เป็นชื่อพา ธ แบบเต็มหรือไฟล์หรือไดเร็กทอรีภายในเครื่อง
    ตัวอย่างเช่น:C: Splunkemp_data.txt
  3. Sourcetype: Sourcetype ระบุรูปแบบของข้อมูลไม่ว่าจะเป็นไฟล์บันทึก XML CSV หรือฟิลด์เธรด ประกอบด้วยโครงสร้างข้อมูลของเหตุการณ์
    ตัวอย่างเช่น:พนักงาน _ ข้อมูล
  4. ดัชนี: เป็นชื่อของดัชนีที่จัดทำดัชนีข้อมูลดิบ หากคุณไม่ระบุอะไรเลยค่านั้นจะอยู่ในดัชนีเริ่มต้น
  5. เวลา: เป็นฟิลด์ที่แสดงเวลาที่สร้างเหตุการณ์ มีบาร์โค้ดกับทุกเหตุการณ์และไม่สามารถเปลี่ยนแปลงได้ คุณสามารถเปลี่ยนชื่อหรือแบ่งเป็นช่วงเวลาหนึ่งเพื่อเปลี่ยนงานนำเสนอ
    ตัวอย่างเช่น:3/4/16 7:53:51 นหมายถึงการประทับเวลาของเหตุการณ์หนึ่ง ๆ

ตอนนี้ให้เราเรียนรู้ว่าประเภทเหตุการณ์ Splunk ช่วยให้คุณจัดกลุ่มเหตุการณ์ที่คล้ายกันได้อย่างไร

ประเภทเหตุการณ์ Splunk

สมมติว่าคุณมีสตริงที่มีชื่อพนักงานและรหัสพนักงานถึงคุณต้องการค้นหาสตริงโดยใช้คำค้นหาเดียวแทนที่จะค้นหาทีละรายการ ประเภท Splunk Event สามารถช่วยคุณได้ที่นี่ พวกเขาจัดกลุ่มเหตุการณ์ Splunk สองเหตุการณ์ที่แยกจากกันและคุณสามารถบันทึกสตริงนี้เป็นประเภทเหตุการณ์เดียว (Employee_Detail)

  • ประเภทเหตุการณ์ Splunk หมายถึงชุดข้อมูลที่ช่วยในการจัดหมวดหมู่เหตุการณ์ตามลักษณะทั่วไป
  • เป็นฟิลด์ที่ผู้ใช้กำหนดเองซึ่งจะสแกนข้อมูลจำนวนมหาศาลและส่งคืนผลลัพธ์การค้นหาในรูปแบบของแดชบอร์ด คุณยังสามารถสร้างการแจ้งเตือนตามผลการค้นหา

โปรดทราบว่าคุณไม่สามารถใช้อักขระไปป์หรือการค้นหาย่อยในขณะที่กำหนดประเภทเหตุการณ์ได้ แต่คุณสามารถเชื่อมโยงแท็กอย่างน้อยหนึ่งแท็กกับประเภทเหตุการณ์ได้ตอนนี้ให้เราเรียนรู้วิธีสร้างประเภทเหตุการณ์ Splunk เหล่านี้
มีหลายวิธีในการสร้างประเภทเหตุการณ์:



  1. ใช้การค้นหา
  2. การใช้ Build Event Type Utility
  3. ใช้ Splunk Web
  4. ไฟล์คอนฟิกูเรชัน (eventtypes.conf)

ให้เราลงรายละเอียดเพิ่มเติมเพื่อทำความเข้าใจอย่างถูกต้อง:

หนึ่ง. ใช้การค้นหา: เราสามารถสร้างประเภทเหตุการณ์ได้โดยการเขียนคำค้นหาง่ายๆ
ทำตามขั้นตอนด้านล่างเพื่อสร้าง:
> ทำการค้นหาด้วยสตริงการค้นหา
ตัวอย่างเช่น: index = emp_details emp_id = 3
> คลิกบันทึกเป็นและเลือกประเภทเหตุการณ์
คุณสามารถดูภาพหน้าจอด้านล่างเพื่อทำความเข้าใจได้ดียิ่งขึ้น:


 2. การใช้ Build Event Type Utility: ยูทิลิตี้ Build Event Type ช่วยให้คุณสร้างประเภทเหตุการณ์แบบไดนามิกตามเหตุการณ์ Splunk ที่ส่งคืนโดยการค้นหา ยูทิลิตี้นี้ยังช่วยให้คุณสามารถกำหนดสีเฉพาะให้กับประเภทเหตุการณ์


คุณสามารถพบยูทิลิตี้นี้ในผลการค้นหาของคุณ มาดูขั้นตอนด้านล่างกัน Splunk-event-actions-splunk-events-Edureka
ขั้นตอนที่ 1: เปิดเมนูเหตุการณ์แบบเลื่อนลง
ขั้นตอนที่ 2: ค้นหาลูกศรลงถัดจากการประทับเวลาเหตุการณ์
ขั้นตอนที่ 3: คลิกสร้างประเภทเหตุการณ์
เมื่อคุณคลิกที่ 'สร้างประเภทเหตุการณ์' ที่แสดงในภาพหน้าจอด้านบนระบบจะส่งคืนชุดเหตุการณ์ที่เลือกตามการค้นหาเฉพาะ

ค้นหาจำนวนที่มากที่สุดใน array java

3. การใช้ Splunk Web: นี่เป็นวิธีที่ง่ายที่สุดในการสร้างประเภทเหตุการณ์
สำหรับสิ่งนี้คุณสามารถทำตามขั้นตอนเหล่านี้:
»ไปที่การตั้งค่า
»ไปที่ Evคือnt ประเภท
»คลิกใหม่

ขอยกตัวอย่างพนักงานคนเดิมเพื่อให้ง่าย
คำค้นหาจะเหมือนกันในกรณีนี้:
ดัชนี = emp_details emp_id = 3

ดูภาพหน้าจอด้านล่างเพื่อทำความเข้าใจให้ดียิ่งขึ้น:

สี่. ไฟล์คอนฟิกูเรชัน (eventtypes.conf): คุณสามารถสร้างประเภทเหตุการณ์โดยแก้ไขไฟล์คอนฟิกูเรชัน eventtypes.conf โดยตรงใน $ SPLUNK_HOME / etc / system / local
ตัวอย่างเช่น“ Employee_Detail”
ดูภาพหน้าจอด้านล่างเพื่อทำความเข้าใจให้ดียิ่งขึ้น:

ตอนนี้คุณคงเข้าใจวิธีสร้างและแสดงประเภทเหตุการณ์แล้ว ต่อไปให้เราเรียนรู้ว่าแท็ก Splunk สามารถใช้งานได้อย่างไรและนำความชัดเจนมาสู่ข้อมูลของคุณได้อย่างไร


แท็ก Splunk

คุณต้องตระหนักถึงความหมายโดยทั่วไปของแท็ก พวกเราส่วนใหญ่ใช้ฟีเจอร์การแท็กใน Facebook เพื่อแท็กเพื่อนในโพสต์หรือรูปภาพ แม้แต่ใน Splunk การติดแท็กก็ทำงานในลักษณะเดียวกัน มาทำความเข้าใจกับตัวอย่าง เรามีฟิลด์ emp_id สำหรับดัชนี Splunk ตอนนี้คุณต้องการระบุแท็ก (พนักงาน 2) ให้กับคู่ฟิลด์ / ค่า emp_id = 2 เราสามารถสร้างแท็กสำหรับ emp_id = 2 ซึ่งสามารถค้นหาได้โดยใช้ Employee2

  • แท็ก Splunk ใช้เพื่อกำหนดชื่อให้กับฟิลด์เฉพาะและชุดค่าผสม
  • เป็นวิธีที่ง่ายที่สุดในการรับผลลัพธ์เป็นคู่ขณะค้นหา เหตุการณ์ทุกประเภทสามารถมีหลายแท็กเพื่อให้ได้ผลลัพธ์ที่รวดเร็ว
  • ช่วยในการค้นหากลุ่มข้อมูลเหตุการณ์ได้อย่างมีประสิทธิภาพมากขึ้น
  • การติดแท็กจะกระทำบนคู่คีย์ค่าซึ่งช่วยในการรับข้อมูลที่เกี่ยวข้องกับเหตุการณ์หนึ่ง ๆ ในขณะที่ประเภทเหตุการณ์จะให้ข้อมูลของเหตุการณ์ Splunk ทั้งหมดที่เกี่ยวข้อง
  • คุณยังสามารถกำหนดหลายแท็กให้เป็นค่าเดียวได้

ดูภาพหน้าจอทางด้านขวาเพื่อสร้างแท็ก Splunk

ไปที่การตั้งค่า -> แท็ก

ตอนนี้คุณอาจเข้าใจวิธีสร้างแท็กแล้ว ตอนนี้ให้เราเข้าใจวิธีการจัดการแท็ก Splunk มีสามมุมมองในหน้าแท็กภายใต้การตั้งค่า:
1. แสดงรายการตามคู่ค่าฟิลด์
2. แสดงรายการตามชื่อแท็ก
3. วัตถุแท็กที่ไม่ซ้ำกันทั้งหมด

ให้เราดูรายละเอียดเพิ่มเติมและทำความเข้าใจวิธีต่างๆในการจัดการและเข้าถึงการเชื่อมโยงระหว่างแท็กและคู่ฟิลด์ / ค่าได้อย่างรวดเร็ว

หนึ่ง. รายการตามคู่ค่าฟิลด์: ซึ่งจะช่วยให้คุณตรวจสอบหรือกำหนดชุดของแท็กสำหรับคู่ฟิลด์ / ค่า คุณสามารถดูรายการการจับคู่ดังกล่าวสำหรับแท็กหนึ่ง ๆ
ดูภาพหน้าจอด้านล่างเพื่อทำความเข้าใจให้ดียิ่งขึ้น:


2. รายการตามชื่อแท็ก: ช่วยให้คุณตรวจสอบและแก้ไขชุดของคู่เขตข้อมูล / ค่า คุณสามารถค้นหารายการการจับคู่ฟิลด์ / ค่าสำหรับแท็กใดแท็กหนึ่งได้โดยไปที่มุมมอง 'รายการตามชื่อแท็ก' จากนั้นคลิกที่ชื่อแท็ก ซึ่งจะนำคุณไปยังหน้ารายละเอียดของแท็ก
ตัวอย่าง: เปิดหน้ารายละเอียดของแท็กพนักงาน 2
ดูภาพหน้าจอด้านล่างเพื่อทำความเข้าใจให้ดียิ่งขึ้น:

3. ออบเจ็กต์แท็กที่ไม่ซ้ำกันทั้งหมด: ช่วยให้คุณระบุชื่อแท็กที่ไม่ซ้ำกันและการจับคู่ฟิลด์ / ค่าในระบบของคุณ คุณสามารถค้นหาแท็กใดแท็กหนึ่งเพื่อดูคู่ฟิลด์ / ค่าทั้งหมดที่เกี่ยวข้องได้อย่างรวดเร็ว คุณสามารถรักษาสิทธิ์เพื่อเปิดหรือปิดใช้งานแท็กเฉพาะได้อย่างง่ายดาย

ดูภาพหน้าจอด้านล่างเพื่อทำความเข้าใจให้ดียิ่งขึ้น:

ตอนนี้มี 2 วิธีในการค้นหาแท็ก:

  • หากเราต้องการค้นหาแท็กที่เกี่ยวข้องกับค่าในฟิลด์ใด ๆ เราสามารถใช้:
    แท็ก =
    ในตัวอย่างข้างต้นจะเป็น: tag = staff2
  • หากเรากำลังมองหาแท็กที่เกี่ยวข้องกับค่าในฟิลด์ที่ระบุเราสามารถใช้:
    แท็ก :: =
    ในตัวอย่างข้างต้นจะเป็น: tag :: emp_id = staff2

ในบล็อกนี้ฉันได้อธิบายออบเจ็กต์ความรู้สามอย่าง (เหตุการณ์ Splunk ประเภทเหตุการณ์และแท็ก) ที่ช่วยให้การค้นหาของคุณง่ายขึ้น ในบล็อกถัดไปของฉันฉันจะอธิบายวัตถุความรู้เพิ่มเติมเช่น Splunk fields วิธีการทำงานของการแยกฟิลด์และการค้นหา Splunk หวังว่าคุณจะสนุกกับการอ่านบล็อกที่สองของฉันเกี่ยวกับวัตถุความรู้

คุณต้องการเรียนรู้ Splunk และนำไปใช้ในธุรกิจของคุณหรือไม่? ตรวจสอบ ที่นี่ซึ่งมาพร้อมกับการฝึกอบรมสดที่นำโดยผู้สอนและประสบการณ์โครงการในชีวิตจริง

ข้อมูลใหญ่

หมวดหมู่

Popular Articles

สิ่งที่คุณต้องรู้เกี่ยวกับ Solid Principles ใน Java

บทนำสู่ Spark ด้วย Python - PySpark สำหรับผู้เริ่มต้น

การใช้ K-mean Clustering บน Crime Dataset

บทช่วยสอน Salesforce: เรียนรู้การสร้างแอป Salesforce ของคุณเอง

วิธีใช้แผนภูมิโดนัทในฉาก

โปรไฟล์ผู้เรียน Hadoop

สิ่งที่คุณต้องรู้เกี่ยวกับ DOM ใน JavaScript

ความแตกต่างระหว่าง Throw Throw และ Throwable ใน Java

TensorFlow Tutorial - การเรียนรู้เชิงลึกโดยใช้ TensorFlow

Infographic - คู่มือสำหรับผู้เริ่มต้นใช้งานระบบไอทีของอินเดีย