Splunk tudásobjektumok: Splunk események, eseménytípusok és címkék



Ebben a Splunk oktatóblogban megismerheti a különböző ismeretobjektumokat, például a Splunk eseményeket, az eseménytípusokat és a Splunk címkéket.

Előző blogomban 3 Tudásobjektumról beszéltem: Splunk Timechart, adatmodell és riasztás amelyek az adatok jelentésére és megjelenítésére vonatkoztak. Ha meg szeretné nézni, hivatkozhat itt . Ebben a blogban a Splunk eseményeket, az eseménytípusokat és a Splunk címkéket ismertetem.
Ezek a tudásobjektumok segítenek gazdagítani az adatait annak érdekében, hogy megkönnyítsék a keresést és a jelentéstételt.

Tehát kezdjük a Splunk Events-et.

névtér használatával c ++

Splunk Események

Egy esemény bármely egyedi adatra vonatkozik. A Splunk Serverre továbbított egyéni adatokat Splunk eseményeknek nevezzük. Ezek az adatok bármilyen formátumban lehetnek, például: karakterlánc, szám vagy JSON-objektum.





Hadd mutassam meg, hogyan néznek ki az események a Splunkban:

splunk-events-edureka
Amint a fenti képernyőképen látható, vannak alapértelmezett mezők (Host, Source, Sourcetype és Time), amelyeket indexelés után adnak hozzá. Értsük meg ezeket az alapértelmezett mezőket:



  1. Gazdagép: A hoszt egy gép vagy egy készülék IP-címének neve, ahonnan az adatok származnak. A fenti képernyőképenMy-Machinea házigazda.
  2. Forrás: A forrásból származnak a gazdagép adatai. Ez egy teljes elérési út, vagy egy fájl vagy könyvtár egy gépen belül.
    Például:C: Splunkemp_data.txt
  3. Sourcetype: A Sourcetype azonosítja az adatok formátumát, legyen az naplófájl, XML, CSV vagy szálmező. Az esemény adatszerkezetét tartalmazza.
    Például:alkalmazott_adatok
  4. Index: Az index neve, ahova a nyers adatokat indexelik. Ha nem ad meg semmit, akkor az egy alapértelmezett indexbe kerül.
  5. Idő: Ez egy olyan mező, amely megmutatja az esemény létrehozásának időpontját. Minden esemény vonalkóddal van ellátva, és nem változtatható meg. Átnevezheti vagy szeletelheti egy ideig, annak megváltoztatása érdekében.
    Például:2016.03.04. 7:53:51egy adott esemény időbélyegét ábrázolja.

Most pedig hadd tanulja meg, hogyan segítenek a Splunk eseménytípusok hasonló események csoportosításában.

Splunk eseménytípusok

Tegyük fel, hogy van egy karaktersorozata, amely tartalmazza az alkalmazott nevét ésmunkavállalói azonosítónak neka karakterláncban egyetlen keresési lekérdezéssel szeretne keresni, nem pedig külön-külön. A Splunk eseménytípusok itt segíthetnek. Csoportosítják ezt a két különálló Splunk eseményt, és ezt a karakterláncot egyetlen eseménytípusként mentheti (Employee_Detail).

  • A Splunk eseménytípus olyan adatgyűjteményre utal, amely segít az események kategorizálásában a közös jellemzők alapján.
  • Ez egy felhasználó által definiált mező, amely hatalmas mennyiségű adatot szkennel át, és irányítópultok formájában adja vissza a keresési eredményeket. A keresési eredmények alapján riasztásokat is létrehozhat.

Ne feledje, hogy az eseménytípus meghatározása során nem használhat pipa karaktert vagy alkeresést. De társíthat egy vagy több címkét egy eseménytípushoz.Most megtudhatjuk, hogyan jönnek létre ezek a Splunk eseménytípusok.
Többféle módon hozhat létre eseménytípust:



  1. A Keresés használata
  2. A Build Event Type segédprogram használata
  3. A Splunk Web használata
  4. Konfigurációs fájlok (eventtypes.conf)

Menjünk részletesebben, hogy megfelelően megértsük:

egy. A Keresés használata: Eseménytípust létrehozhatunk egy egyszerű keresési lekérdezés megírásával.

A létrehozásához hajtsa végre az alábbi lépéseket:
> Futtasson egy keresést a keresési karakterlánccal
Például: index = emp_details emp_id = 3
> Kattintson a Mentés másként elemre, és válassza az Esemény típusa lehetőséget.
A jobb megértés érdekében hivatkozhat az alábbi képernyőképre:


2. A Build Event Type segédprogram használata: A Build Event Type segédprogram segítségével dinamikusan hozhat létre eseménytípusokat a keresések által visszaadott Splunk események alapján. Ez a segédprogram lehetővé teszi az eseménytípusokhoz adott színek hozzárendelését is.


Ezt a segédprogramot megtalálhatja a keresési eredmények között. Menjünk át az alábbi lépéseken:
Splunk-event-actions-splunk-events-Edureka
1. lépés: Nyissa meg a legördülő eseménymenüt

2. lépés: Keresse meg a lefelé mutató nyilat az esemény időbélyegzője mellett
3. lépés: Kattintson az Eseménytípus építése elemre
Miután rákattintott a fenti képernyőképen látható „Esemény összeállítása” elemre, az adott keresés alapján visszaadja a kiválasztott eseménykészletet.

3. A Splunk Web használata: Ez a legegyszerűbb módja egy eseménytípus létrehozásának.
Ehhez kövesse az alábbi lépéseket:
' Menj a beállításokhoz
»Navigáljon az Ev
vannt típusok
»Kattintson az Új gombra

Hadd vegyem ugyanazt az alkalmazotti példát, hogy megkönnyítsem.
A keresési lekérdezés ebben az esetben ugyanaz lenne:
index = emp_részletek emp_id = 3

A jobb megértés érdekében tekintse meg az alábbi képernyőképet:

Négy. Konfigurációs fájlok (eventtypes.conf): Eseménytípusokat az eventtypes.conf konfigurációs fájl közvetlen szerkesztésével hozhat létre a $ SPLUNK_HOME / etc / system / local fájlban.
Például: „Employee_Detail”
A jobb megértés érdekében tekintse meg az alábbi képernyőképet:

Mostanra már megértette, hogyan jönnek létre és hogyan jelennek meg az eseménytípusok. Ezután ismerje meg, hogy miként használhatók a Splunk címkék, és hogyan világossá teszik az adatait.


Splunk címkék

Tudnia kell arról, hogy a címke mit jelent általában. Legtöbben a Facebook címkézési funkcióját használjuk a barátok megcímkézésére egy bejegyzésben vagy fotóban. Még a Splunkban is hasonló módon működik a címkézés. Értsük meg ezt egy példával. Van egy emp_id mezőnk a Splunk indexhez. Most egy címkét (Employee2) szeretne megadni az emp_id = 2 mező / érték párhoz. Létrehozhatunk egy címkét az emp_id = 2 számára, amelyre most az Employee2 segítségével lehet keresni.

  • A Splunk címkéket nevek hozzárendeléséhez használják meghatározott mezőkhöz és értékkombinációkhoz.
  • Ez a legegyszerűbb módszer az eredmények párosításához keresés közben. Bármely eseménytípusnak több címkéje lehet a gyors eredmények elérése érdekében.
  • Segít a keresésbenaz eseményadatok csoportjai hatékonyabban.
  • A címkézés a kulcsértékpáron történik, amely elősegíti az adott eseményhez kapcsolódó információk megszerzését, míg az eseménytípus az összes társított Splunk eseményről nyújt információt.
  • Több címkét is rendelhet egyetlen értékhez.

Nézze meg a jobb oldali képernyőképet egy Splunk címke létrehozásához.

Válassza a Beállítások -> Címkék menüpontot

c ++ a névterek használata

Most már megértette, hogyan jön létre egy címke. Most már értsük meg, hogyan kezelik a Splunk címkéket. Három nézet található a Címke oldalon a Beállítások alatt:
1. Sorolja fel mezőérték-páronként

2. Sorolja fel a címke nevét
3. Minden egyedi címkeobjektum

Térjünk bele a részletekbe és értsük meg a kezelés különböző módjaités gyorsan hozzáférhet a címkék és a mező / érték párok közötti asszociációkhoz.

egy. Mezőérték-pár szerinti felsorolás: Ez segít áttekinteni vagy meghatározni egy mező / érték pár címkekészletét. Megtekintheti az adott címke ilyen párosításainak listáját.
A jobb megértés érdekében tekintse meg az alábbi képernyőképet:


2. Címke neve szerinti felsorolás: Segít a mező / érték párok áttekintésében és szerkesztésében. Az adott címke mező / érték párosításának listáját úgy találhatja meg, hogy a „list by tag name” nézetbe megy, majd rákattint a címke nevére. Ez a címke részletes oldalára vezet.
Példa: Nyissa meg a 2. alkalmazott címke részletes oldalát.
A jobb megértés érdekében tekintse meg az alábbi képernyőképet:

3. Minden egyedi címkeobjektum: Segít a rendszer összes egyedi címkéjének és mező / érték párosításának megadásában. Kereshet egy adott címkén, hogy gyorsan láthassa az összes mező / érték párokat, amelyekhez társítva van. Könnyedén fenntarthatja az engedélyeket egy adott címke engedélyezéséhez vagy letiltásához.

A jobb megértés érdekében tekintse meg az alábbi képernyőképet:

mi a váz a szelénben

Kétféle módon lehet keresni a címkék között:

  • Ha bármely mezőben meg kell keresnünk egy értékhez társított címkét, használhatjuk:
    tag =
    A fenti példában a következő lenne: tag = alkalmazott2
  • Ha egy megadott mezőben lévő értékhez társított címkét keresünk, használhatjuk:
    tag :: =
    A fenti példában a következő lenne: tag :: emp_id = alkalmazott2

Ebben a blogban három olyan tudásobjektumot ismertettem (Splunk események, eseménytípus és címkék), amelyek megkönnyítik a keresését. A következő blogomban elmagyarázok néhány további tudásobjektumot, például a Splunk mezőket, a mezőkitermelés működését és a Splunk kereséseket. Remélem, hogy élvezettel olvasta a második blogomat a tudás tárgyairól.

Szeretné megtanulni a Splunkot és megvalósítani az üzleti életében? Nézze meg a mi oldalunkat itt oktatók által vezetett élő képzés és valós projekt-tapasztalat jár.