I min tidigare blogg pratade jag om 3 kunskapsobjekt: Splunk Timechart, datamodell och varning som var relaterade till rapportering och visualisering av data. Om du vill titta kan du hänvisa här . I den här bloggen ska jag förklara Splunk-händelser, evenemangstyper och Splunk-taggar.
Dessa kunskapsobjekt hjälper till att berika dina data för att göra det lättare att söka och rapportera om dem.
Så, låt oss komma igång med Splunk Events.
Splunk-händelser
En händelse avser varje enskild datadel. De anpassade data som har vidarebefordrats till Splunk Server kallas Splunk Events. Dessa data kan vara i vilket format som helst, till exempel: en sträng, ett nummer eller ett JSON-objekt.
Låt mig visa dig hur händelserna ser ut i Splunk:
Som du kan se i skärmdumpen ovan finns standardfält (värd, källa, källtyp och tid) som läggs till efter indexering. Låt oss förstå dessa standardfält:
- Värd: Värd är en maskin eller ett IP-adressnamn för en enhet från vilken data kommer. I ovanstående skärmdump,My-Machineär värd.
- Källa: Källan är där värddata kommer ifrån. Det är hela sökvägen eller en fil eller katalog i en maskin.
Till exempel:C: Splunkemp_data.txt - Sourcetype: Sourcetype identifierar dataformatet, oavsett om det är en loggfil, XML, CSV eller ett trådfält. Den innehåller datastrukturen för händelsen.
Till exempel:medarbetardata - Index: Det är namnet på det index där rådata indexeras. Om du inte anger något går det till ett standardindex.
- Tid: Det är ett fält som visar den tid då händelsen genererades. Den streckkodas vid varje evenemang och kan inte ändras. Du kan byta namn på eller skära den under en tidsperiod för att ändra presentationen.
Till exempel:3/4/16 7:53:51representerar tidsstämpeln för en viss händelse.
Låt oss nu lära oss hur Splunk Event-typer hjälper dig att gruppera liknande händelser.
Splunk-händelsetyper
Antag att du har en sträng som innehåller anställdas namn ochAnställnings-IDtilloch du vill söka i strängen med en enda sökfråga snarare än att söka i dem individuellt. Splunk Event-typer kan hjälpa dig här. De grupperar dessa två separata Splunk-händelser och du kan spara den här strängen som en enda händelsetyp (Employee_Detail).
- Splunk-händelsetyp avser en samling data som hjälper till att kategorisera händelser baserat på gemensamma egenskaper.
- Det är ett användardefinierat fält som skannar igenom enorma mängder data och returnerar sökresultaten i form av instrumentpaneler. Du kan också skapa varningar baserat på sökresultaten.
Observera att du inte kan använda ett rörtecken eller en undersökning när du definierar en händelsetyp. Men du kan associera en eller flera taggar med en händelsetyp.Låt oss nu lära oss hur dessa Splunk-händelsetyper skapas.
Det finns flera sätt att skapa en händelsetyp:
- Använda Sök
- Använda Build Event Type Utility
- Använda Splunk Web
- Konfigurationsfiler (eventtypes.conf)
Låt oss gå mer i detalj för att förstå det ordentligt:
ett. Använda Sök: Vi kan skapa en händelsetyp genom att skriva en enkel sökfråga.
Gå igenom stegen nedan för att skapa en:
> Kör en sökning med söksträngen
Till exempel: index = emp_details emp_id = 3
> Klicka på Spara som och välj Händelsetyp.
Du kan hänvisa till skärmdumpen nedan för att få en bättre förståelse:
2. Använda Build Event Type Utility: Med verktyget Bygg händelsetyp kan du dynamiskt skapa händelsetyper baserat på Splunk-händelser som returneras av sökningar. Detta verktyg gör det också möjligt för dig att tilldela specifika färger till händelsetyper.
Du hittar det här verktyget i dina sökresultat. Låt oss gå igenom stegen nedan: 
Steg 1: Öppna rullgardinsmenyn
Steg 2: Hitta nedåtpilen bredvid händelsens tidsstämpel
Steg 3: Klicka på Bygg händelsetyp
När du klickar på 'Bygg händelsetyp' som visas i skärmbilden ovan returnerar den valda uppsättningen händelser baserat på en viss sökning.
3. Använda Splunk Web: Detta är det enklaste sättet att skapa en händelsetyp.
För detta kan du följa dessa steg:
' Gå till Inställningar
»Navigera till Evärnt Typer
»Klicka på Ny
Låt mig ta samma medarbetarexempel för att göra det enkelt.
Sökfrågan skulle vara densamma i det här fallet:
index = emp_details emp_id = 3
Se skärmdumpen nedan för att få en bättre förståelse:
Fyra. Konfigurationsfiler (eventtypes.conf): Du kan skapa händelsetyper genom att direkt redigera konfigurationsfilen för eventtypes.conf i $ SPLUNK_HOME / etc / system / local
Till exempel: “Employee_Detail”
Se skärmdumpen nedan för att få en bättre förståelse:
Nu skulle du ha förstått hur händelsetyper skapas och visas. Låt oss sedan lära oss hur Splunk-taggar kan användas och hur de klargör dina data.
Splunk-taggar
Du måste vara medveten om vad en tagg betyder i allmänhet. De flesta av oss använder taggningsfunktionen på Facebook för att tagga vänner i ett inlägg eller foto. Även i Splunk fungerar taggning på liknande sätt. Låt oss förstå detta med ett exempel. Vi har ett emp_id-fält för ett Splunk-index. Nu vill du tillhandahålla en tagg (Employee2) till emp_id = 2 fält / värdepar. Vi kan skapa en tagg för emp_id = 2 som nu kan sökas med Employee2.
- Splunk-taggar används för att tilldela namn till specifika fält och värdekombinationer.
- Det är den enklaste metoden att få resultaten i par när du söker. Varje händelsetyp kan ha flera taggar för att få snabba resultat.
- Det hjälper att sökagrupper av händelsesdata mer effektivt.
- Märkning görs på nyckelvärdeparet som hjälper till att få information relaterad till en viss händelse, medan en händelsetyp ger information om alla Splunk-händelser som är associerade med den.
- Du kan också tilldela flera taggar till ett enda värde.
Titta på skärmdumpen på höger sida för att skapa en Splunk-tagg.
Gå till Inställningar -> Taggar
vad är mvc i java
Nu kanske du har förstått hur en tagg skapas. Låt oss nu förstå hur Splunk-taggar hanteras. Det finns tre vyer på taggsidan under Inställningar:
1. Lista efter fältvärdepar
2. Lista efter taggnamn
3. Alla unika taggobjekt
Låt oss gå in i mer detaljer och förstå olika sätt att hanteraoch få snabb åtkomst till kopplingar som skapas mellan taggar och fält / värde-par.
ett. Lista efter fältvärde par: Detta hjälper dig att granska eller definiera en uppsättning taggar för ett fält / värdepar. Du kan se listan över sådana parningar för en viss tagg.
Se skärmdumpen nedan för att få en bättre förståelse:
2. Lista efter taggnamn: Det hjälper dig att granska och redigera uppsättningarna fält / värdepar. Du hittar listan över fält / värdepar för en viss tagg genom att gå till listan efter taggnamn och klicka sedan på taggnamnet. Detta tar dig till detaljsidan för taggen.
Exempel: Öppna detaljsidan för anställd 2-taggen.
Se skärmdumpen nedan för att få en bättre förståelse:
3. Alla unika taggobjekt: Det hjälper dig att tillhandahålla alla unika taggnamn och fält / värdepar i ditt system. Du kan söka i en viss tagg för att snabbt se alla fält / värdepar som den är associerad med. Du kan enkelt behålla behörigheterna för att aktivera eller inaktivera en viss tagg.
Se skärmdumpen nedan för att få en bättre förståelse:
Nu finns det två sätt att söka taggar:
- Om vi behöver söka i en tagg som är associerad med ett värde i vilket fält som helst kan vi använda:
tag =
I exemplet ovan skulle det vara: tag = medarbetare2 - Om vi letar efter en tagg som är associerad med ett värde i ett angivet fält kan vi använda:
tag :: =
I exemplet ovan skulle det vara: tag :: emp_id = medarbetare2
I den här bloggen har jag förklarat tre kunskapsobjekt (Splunk-händelser, händelsetyp och taggar) som hjälper dig att göra dina sökningar enklare. I min nästa blogg kommer jag att förklara några fler kunskapsobjekt som Splunk-fält, hur fältutvinning fungerar och Splunk-uppslag. Hoppas du tyckte om att läsa min andra blogg om kunskapsobjekt.
Vill du lära dig Splunk och implementera det i ditt företag? Kolla in vår här kommer det med instruktörsledad live-utbildning och verklig projektupplevelse.