Oma eelmises ajaveebis rääkisin 3 teadmise objektist: Splunk Timechart, andmemudel ja hoiatus mis olid seotud andmete aruandluse ja visualiseerimisega. Kui soovite pilk peale visata, võite viidata sellele siin . Selles blogis selgitan Splunki sündmusi, sündmuste tüüpe ja Splunki silte.
Need teadmisobjektid aitavad rikastada teie andmeid, et hõlbustada nende otsimist ja aruandlust.
Alustame siis Splunk Eventsiga.
Splunk Sündmused
Sündmus viitab üksikutele andmetele. Splunk Serverisse edastatud kohandatud andmeid nimetatakse Splunk Eventsiks. Need andmed võivad olla mis tahes vormingus, näiteks: string, number või JSON-objekt.
Lubage mul näidata teile, kuidas sündmused Splunkis välja näevad:
Nagu näete ülaltoodud ekraanipildil, on vaikeväljad (Host, Source, Sourcetype ja Time), mis lisatakse pärast indekseerimist. Mõistame neid vaikevälju:
kuidas aatomi kasutada pythoni jaoks
- Host: Host on masina või seadme IP-aadressi nimi, kust andmed pärinevad. Ülaltoodud ekraanipildilMinu-Masinon peremees.
- Allikas: Allikas on see, kust pärinevad hostiandmed. See on masina täielik teenimi või fail või kataloog.
Näiteks:C: Splunkemp_data.txt - Sourcetype: Sourcetype tuvastab andmete vormingu, olgu see siis logifail, XML, CSV või lõimeväli. See sisaldab sündmuse andmestruktuuri.
Näiteks:töötaja_andmed - Indeks: see on indeksi nimi, kuhu algandmed indekseeritakse. Kui te midagi ei täpsusta, läheb see vaikimisi indeksisse.
- Aeg: see on väli, mis kuvab sündmuse loomise aja. See on iga sündmusega vöötkoodiga ja seda ei saa muuta. Selle esitluse muutmiseks võite selle mõneks ajaks ümber nimetada või tükeldada.
Näiteks:04.03.16 7:53:51tähistab konkreetse sündmuse ajatemplit.
Nüüd andke meile teada, kuidas Splunki sündmuste tüübid aitavad teil sarnaseid sündmusi grupeerida.
Splunk sündmuste tüübid
Oletame, et teil on string, mis sisaldab töötaja nime jatöötaja IDkunisoovite otsida stringi kasutades ühte otsingupäringut, mitte neid eraldi otsides. Splunk Event tüüpi tüübid võivad teid siin aidata. Nad rühmitavad need kaks eraldi Splunki sündmust ja saate selle stringi salvestada ühe sündmusetüübina (Employee_Detail).
- Splunk sündmuse tüüp viitab andmete kogumile, mis aitab sündmusi kategoriseerida ühiste tunnuste alusel.
- See on kasutaja määratletud väli, mis skannib tohutul hulgal andmeid ja tagastab otsingutulemid armatuurlaudade kujul. Samuti saate otsingutulemite põhjal teateid luua.
Pange tähele, et sündmuse tüübi määratlemisel ei saa kasutada tähemärki ega alamotsingut. Kuid saate ühe või mitu silti seostada sündmuse tüübiga.Nüüd andke meile teada, kuidas need Splunki sündmusetüübid luuakse.
Sündmuse tüübi loomiseks on mitu võimalust:
- Otsingu kasutamine
- Ehitussündmuse tüübi utiliidi kasutamine
- Splunk Webi kasutamine
- Konfiguratsioonifailid (eventtypes.conf)
Läheme üksikasjalikumalt, et sellest õigesti aru saada:
üks. Otsingu kasutamine: Sündmuse tüübi saame luua, kirjutades lihtsa otsingupäringu.
Selle loomiseks tehke järgmist.
> Käivitage otsing stringiga
Näiteks: index = emp_details emp_id = 3
> Klõpsake nuppu Salvesta nimega ja valige Sündmuse tüüp.
Parema arusaamise saamiseks võite viidata allolevale ekraanipildile:
2. Ehitussündmuse tüübi utiliidi kasutamine: Ehitussündmuse tüübi loomine võimaldab teil dünaamiliselt luua sündmuste tüüpe otsingute tagastatud Splunk-sündmuste põhjal. See utiliit võimaldab teil määrata ka konkreetsed värvid sündmuse tüüpidele.
Selle utiliidi leiate oma otsingutulemitest. Käime läbi järgmised sammud: 
1. samm: avage rippmenüü Sündmuste menüü
2. samm: leidke sündmuse ajatempli kõrvalt allanool
3. samm: klõpsake nuppu Koosta sündmuse tüüp
Kui klõpsate ülaltoodud ekraanipildil kuvataval nupul Koosta sündmuse tüüp, tagastab see valitud sündmuste kogumi, mis põhineb konkreetsel otsingul.
3. Splunk Webi kasutamine: See on lihtsaim viis sündmusetüübi loomiseks.
Selleks võite järgida neid samme:
»Avage menüü Seaded
»Navigeerige Evonnt tüübid
»Klõpsake nuppu Uus
Lubage mul võtta sama töötaja näide, et see oleks lihtne.
Otsingupäring oleks sel juhul sama:
register = emp_detailid emp_id = 3
Parema arusaamise saamiseks vaadake allolevat ekraanipilti:
Neli. Konfiguratsioonifailid (eventtypes.conf): Sündmustüüpe saate luua, redigeerides otse konfiguratsioonifaili eventtypes.conf failis $ SPLUNK_HOME / etc / system / local
Näiteks: „Employee_Detail”
Parema arusaamise saamiseks vaadake allolevat ekraanipilti:
Nüüdseks oleksite aru saanud, kuidas sündmustüüpe luuakse ja kuvatakse. Järgmisena andke meile teada, kuidas Splunki silte saab kasutada ja kuidas need teie andmetele selgust annavad.
Splunk sildid
Peate olema teadlik sellest, mida silt üldiselt tähendab. Enamik meist kasutab Facebookis sildistamise funktsiooni sõprade märkimiseks postituses või fotol. Isegi Splunkis töötab sildistamine sarnaselt. Mõistame seda näite abil. Splunki indeksi jaoks on meil väli emp_id. Nüüd soovite väljale / väärtusele paaris emp_id = 2 anda sildi (Employee2). Saame luua sildi emp_id = 2 jaoks, mida saab nüüd otsida Employee2 abil.
- Splunk-silte kasutatakse nimede määramiseks konkreetsetele väljadele ja väärtuste kombinatsioonidele.
- See on lihtsaim meetod tulemuste paariliseks saamiseks otsimise ajal. Kiire tulemuse saamiseks võib mis tahes sündmuse tüübil olla mitu silti.
- See aitab otsidasündmuste andmete rühmad tõhusamalt.
- Sildistamine toimub võtmeväärtuste paaril, mis aitab saada teavet konkreetse sündmusega, samas kui sündmuse tüüp pakub teavet kõigi sellega seotud Splunki sündmuste kohta.
- Ühele väärtusele saate määrata ka mitu silti.
Splunki sildi loomiseks vaadake paremal asuvat ekraanipilti.
Valige Seaded -> Sildid
Nüüd võite olla aru saanud, kuidas silt luuakse. Mõistkem nüüd, kuidas Splunki silte hallatakse. Sildilehe jaotises Seaded on kolm vaadet:
1. Loetlege väljade väärtuste paari järgi
2. Nimekiri sildi nime järgi
3. Kõik unikaalsed sildi objektid
Lähme üksikasjadesse ja mõistame erinevaid juhtimisviiseja saate kiire juurdepääsu seostele, mis on loodud siltide ja välja / väärtus paari vahel.
üks. Loetlege väljade väärtuste paari järgi: See aitab teil välja / väärtuspaari jaoks märgendite komplekti üle vaadata või määratleda. Näete konkreetse sildi selliste sidumiste loendit.
Parema arusaamise saamiseks vaadake allolevat ekraanipilti:
ühenda sort C ++ kood
2. Loendi sildi nime järgi: See aitab teil välja- ja väärtuspaaride komplekte üle vaadata ja muuta. Konkreetse sildi väljade / väärtuste sidumise loendi leiate, kui avate vaate „loendi sildi nime järgi” ja klõpsake seejärel sildi nimel. See viib teid märgendi üksikasjade lehele.
Näide: avage töötaja 2 märgendi üksikasjade leht.
Parema arusaamise saamiseks vaadake allolevat ekraanipilti:
3. Kõik kordumatud märgendi objektid: See aitab teil esitada kõik oma süsteemi ainulaadsed siltide nimed ja väljade / väärtuste paarid. Saate otsida konkreetsest märgendist, et kiiresti näha kõiki välja / väärtuspaare, millega see on seotud. Konkreetse sildi lubamiseks või keelamiseks saate hõlpsalt õigusi säilitada.
Parema arusaamise saamiseks vaadake allolevat ekraanipilti:
Nüüd on siltide otsimiseks kaks võimalust:
- Kui peame mingil väljal otsima väärtusega seotud märgendit, saame kasutada järgmist.
silt =
Ülaltoodud näites oleks see järgmine: tag = töötaja2 - Kui otsime määratud väljal väärtusega seotud silti, saame kasutada järgmist.
silt :: =
Ülaltoodud näites oleks see: tag :: emp_id = töötaja2
Selles blogis olen selgitanud kolme teadmisobjekti (Splunki sündmused, sündmuse tüüp ja sildid), mis aitavad teie otsinguid hõlbustada. Järgmises ajaveebis selgitan veel mõningaid teadmisobjekte, näiteks Splunki väljad, kuidas väljade väljatõmbamine töötab ja Splunki otsingud. Loodetavasti meeldis teile lugeda minu teist blogi teadmiste objektide kohta.
Kas soovite õppida Splunki ja seda oma ettevõttes rakendada? Vaadake meie siin on kaasas juhendajate juhitud elav koolitus ja reaalse elu projektikogemus.