logo

Obiecte de cunoaștere Splunk: Evenimente Splunk, tipuri de evenimente și etichete

Principal Date Mare Obiecte de cunoaștere Splunk: Evenimente Splunk, tipuri de evenimente și etichete



În acest blog tutorial Splunk, veți învăța diferitele obiecte de cunoștințe precum Evenimente Splunk, Tipuri de evenimente și Etichete Splunk.

În blogul meu anterior, am vorbit despre 3 obiecte de cunoaștere: Splunk Timechart, model de date și alertă care au fost legate de raportarea și vizualizarea datelor. În cazul în care doriți să aruncați o privire, puteți consulta Aici . În acest blog, voi explica evenimentele Splunk, tipurile de evenimente și etichetele Splunk.
Aceste obiecte de cunoștințe vă ajută să vă îmbogățiți datele pentru a le face mai ușor de căutat și de raportat.

Deci, să începem cu Splunk Events.

Evenimente Splunk

Un eveniment se referă la orice informație individuală. Datele personalizate care au fost redirecționate către serverul Splunk se numesc Evenimente Splunk. Aceste date pot fi în orice format, de exemplu: un șir, un număr sau un obiect JSON.





Permiteți-mi să vă arăt cum arată evenimentele în Splunk:

splunk-events-edureka
După cum puteți vedea în captura de ecran de mai sus, există câmpuri implicite (gazdă, sursă, tip de sursă și timp) care se adaugă după indexare. Să înțelegem aceste câmpuri implicite:



  1. Gazdă: Gazda este o adresă IP a unei mașini sau a unui dispozitiv de unde provin datele. În captura de ecran de mai sus,Mașina meaeste gazda.
  2. Sursa: Sursa provine din datele gazdei. Este calea completă sau un fișier sau director dintr-o mașină.
    De exemplu:C: Splunkemp_data.txt
  3. Sourcetype: Sourcetype identifică formatul datelor, indiferent dacă este un fișier jurnal, XML, CSV sau un câmp thread. Conține structura datelor evenimentului.
    De exemplu:date_angajat
  4. Index: este numele indexului unde sunt indexate datele brute. Dacă nu specificați nimic, acesta intră într-un indice implicit.
  5. Ora: Este un câmp care afișează ora la care a fost generat evenimentul. Este codat în bare cu fiecare eveniment și nu poate fi modificat. Puteți să-l redenumiți sau să-l tăiați pentru o perioadă de timp pentru a-i schimba prezentarea.
    De exemplu:16/03/16 7:53:51reprezintă marcajul de timp al unui anumit eveniment.

Acum, permiteți-ne să aflăm cum vă ajută tipurile de evenimente Splunk să grupați evenimente similare.

Tipuri de evenimente Splunk

Să presupunem că aveți un șir care conține numele angajatului șicard de identitate al angajatuluiland doriți să căutați șirul folosind o singură interogare de căutare, mai degrabă decât să le căutați individual. Tipurile de evenimente Splunk vă pot ajuta aici. Acestea grupează aceste două evenimente Splunk separate și puteți salva acest șir ca un singur tip de eveniment (Employee_Detail).

  • Tipul de eveniment Splunk se referă la o colecție de date care ajută la clasificarea evenimentelor pe baza caracteristicilor comune.
  • Este un câmp definit de utilizator care scanează o cantitate uriașă de date și returnează rezultatele căutării sub formă de tablouri de bord. De asemenea, puteți crea alerte pe baza rezultatelor căutării.

Rețineți că nu puteți utiliza un caracter pipă sau o căutare secundară în timp ce definiți un tip de eveniment. Dar puteți asocia una sau mai multe etichete cu un tip de eveniment.Acum, să învățăm cum sunt create aceste tipuri de evenimente Splunk.
Există mai multe moduri de a crea un tip de eveniment:



  1. Folosind Căutare
  2. Folosind utilitarul Build Event Type
  3. Folosind Splunk Web
  4. Fișiere de configurare (eventtypes.conf)

Să intrăm în mai multe detalii pentru a o înțelege corect:

unu. Utilizarea Căutării: Putem crea un tip de eveniment scriind o interogare simplă de căutare.
Parcurgeți pașii de mai jos pentru a crea unul:
> Executați o căutare cu șirul de căutare
De exemplu: index = emp_details emp_id = 3
> Faceți clic pe Salvare ca și selectați Tipul evenimentului.
Puteți consulta ecranul de mai jos pentru a înțelege mai bine:


 2. Utilizarea utilității Build Event Type: Utilitarul Build Event Type vă permite să creați dinamic tipuri de evenimente pe baza evenimentelor Splunk returnate de căutări. Acest utilitar vă permite, de asemenea, să atribuiți culori specifice tipurilor de evenimente.


Puteți găsi acest utilitar în rezultatele căutării. Să parcurgem pașii de mai jos: Splunk-event-actions-splunk-events-Edureka
Pasul 1: deschideți meniul derulant al evenimentului
Pasul 2: găsiți săgeata în jos de lângă marcajul de timp al evenimentului
Pasul 3: Faceți clic pe Construiți tipul de eveniment
După ce faceți clic pe „Construiți tipul evenimentului” afișat în captura de ecran de mai sus, acesta va returna setul selectat de evenimente pe baza unei anumite căutări.

3. Utilizarea Splunk Web: Acesta este cel mai simplu mod de a crea un tip de eveniment.
Pentru aceasta, puteți urma acești pași:
' Mergi la Setari
»Navigați la Evestent Tipuri
»Faceți clic pe Nou

Permiteți-mi să iau același exemplu de angajat pentru a-l ușura.
Interogarea de căutare ar fi aceeași în acest caz:
index = emp_details emp_id = 3

Consultați captura de ecran de mai jos pentru a înțelege mai bine:

cum se face un pachet în java

Patru. Fișiere de configurare (eventtypes.conf): Puteți crea tipuri de evenimente editând direct fișierul de configurare eventtypes.conf în $ SPLUNK_HOME / etc / system / local
De exemplu: „Angajat_Detaliu”
Consultați captura de ecran de mai jos pentru a înțelege mai bine:

Până acum, ați fi înțeles cum sunt create și afișate tipurile de evenimente. Apoi, permiteți-ne să aflăm cum pot fi utilizate etichetele Splunk și cum aduc claritate datelor dvs.


Etichete Splunk

Trebuie să fiți conștienți de ceea ce înseamnă o etichetă în general. Majoritatea dintre noi folosim funcția de etichetare din Facebook pentru a eticheta prietenii într-o postare sau fotografie. Chiar și în Splunk, etichetarea funcționează în mod similar. Să înțelegem acest lucru cu un exemplu. Avem un câmp emp_id pentru un index Splunk. Acum, doriți să furnizați o etichetă (Angajat2) pentru emp_id = 2 câmp / valoare pereche. Putem crea o etichetă pentru emp_id = 2 care poate fi căutată acum folosind Employee2.

  • Etichetele Splunk sunt folosite pentru a atribui nume anumitor câmpuri și combinații de valori.
  • Este cea mai simplă metodă de a obține rezultatele în pereche în timp ce căutați. Orice tip de eveniment poate avea mai multe etichete pentru a obține rezultate rapide.
  • Ajută la căutaregrupuri de date despre evenimente mai eficient.
  • Etichetarea se face pe perechea de valori cheie care ajută la obținerea informațiilor legate de un anumit eveniment, în timp ce un tip de eveniment oferă informații despre toate evenimentele Splunk asociate acestuia.
  • De asemenea, puteți atribui mai multe etichete unei singure valori.

Uită-te la captura de ecran din partea dreaptă pentru a crea o etichetă Splunk.

Accesați Setări -> Etichete

Acum, este posibil să fi înțeles cum este creată o etichetă. Să înțelegem acum cum sunt gestionate etichetele Splunk. Există trei vizualizări în pagina Etichetare din Setări:
1. Listează după perechea de valori de câmp
2. Listează după numele etichetei
3. Toate obiectele de etichetă unice

Permiteți-ne să intrăm în mai multe detalii și să înțelegem diferite moduri de gestionareși obțineți acces rapid la asocierile făcute între etichete și perechi câmp / valoare.

unu. Listează după perechea de valori de câmp: Acest lucru vă ajută să examinați sau să definiți un set de etichete pentru o pereche câmp / valoare. Puteți vedea lista acestor asocieri pentru o anumită etichetă.
Consultați captura de ecran de mai jos pentru a înțelege mai bine:


2. Listează după numele etichetei: Vă ajută să revizuiți și să editați seturile de perechi câmp / valoare. Puteți găsi lista de asociere câmp / valoare pentru o anumită etichetă accesând vizualizarea „listare după nume etichetă” și apoi faceți clic pe numele etichetei. Aceasta vă duce la pagina de detalii a etichetei.
Exemplu: Deschideți pagina de detalii a etichetei 2 pentru angajat.
Consultați captura de ecran de mai jos pentru a înțelege mai bine:

3. Toate obiectele de etichetă unice: Vă ajută să furnizați toate numele de etichete unice și asocierile câmp / valoare din sistemul dvs. Puteți căuta o anumită etichetă pentru a vedea rapid toate perechile câmp / valoare cu care este asociată. Puteți menține cu ușurință permisiunile, pentru a activa sau a dezactiva o anumită etichetă.

Consultați captura de ecran de mai jos pentru a înțelege mai bine:

Acum, există 2 moduri de căutare a etichetelor:

  • Dacă trebuie să căutăm o etichetă asociată unei valori în orice câmp, putem folosi:
    tag =
    În exemplul de mai sus, ar fi: tag = angajat2
  • Dacă căutăm o etichetă asociată cu o valoare într-un câmp specificat, putem folosi:
    tag :: =
    În exemplul de mai sus, ar fi: tag :: emp_id = angajat2

În acest blog, am explicat trei obiecte de cunoștințe (evenimente Splunk, tip de eveniment și etichete) care vă ajută să vă ușurați căutările. În următorul meu blog, voi explica câteva obiecte de cunoștințe precum câmpurile Splunk, cum funcționează extracția câmpului și căutările Splunk. Sper că v-a plăcut să citiți al doilea blog pe obiecte de cunoaștere.

Doriți să învățați Splunk și să îl implementați în afacerea dvs.? Verificați-ne aici, vine cu instruire live condusă de instructor și experiență de proiect din viața reală.

Date Mare

Categorii

Popular Articles

Cum se scrie un fișier în PHP?

Instalați marioneta - Instalați marioneta în patru pași simpli

Care sunt avantajele și dezavantajele importante ale Python?

Informatica ETL: Un ghid pentru începători pentru înțelegerea ETL utilizând Informatica PowerCenter

DevOps nu este nici o metodă, nici un instrument, este o cultură

Care sunt componentele arhitecturii Java?

Salesforce Service Cloud - Soluție One Stop pentru nevoile clienților

Cum se implementează filtre de context în Tableau

Tipuri de date MySQL - o prezentare generală a tipurilor de date din MySQL

Cum se creează și se utilizează parametrii în Tableau