技术原理

Splunk知识对象:Splunk事件、事件类型和标记

在我之前的博客中,我谈到了3个知识对象:Splunk时间图、数据模型和警报,它们与报告和可视化数据有关。如果你想看一看,可以在这里查一下。在这个博客中,我将解释Splunk事件、事件类型和Splunk标记。这些知识对象有助于丰富您的数据,使它们更易于搜索和报告。所以,让我们从Splunk事件开始。

Splunk事件

事件指的是任何单独的数据片段。转发到Splunk服务器的自定义数据称为Splunk事件。这些数据可以是任何格式,例如:字符串、数字或JSON对象。

让我向您展示Splunk中的事件外观:

splunk-events-edureka如您在上面的屏幕截图中所见,在索引后添加了默认字段(主机、源、源类型和时间)。让我们了解这些默认字段:

Host:Host是数据来自的计算机或设备IP地址名。在上面的截图中,我的机器是主机。Source:Source是主机数据的来源。它是计算机中的完整路径名或文件或目录。例如:C:Splunkemp_数据.txtSourcetype:Sourcetype标识数据的格式,无论是日志文件、XML、CSV还是线程字段。它包含事件的数据结构。例如:employee_data Index:索引原始数据的索引的名称。如果不指定任何内容,它将进入默认索引。时间:显示事件生成时间的字段。它与每个事件都用条形码编码,不能更改。您可以将其重命名或切片一段时间以更改其表示形式。例如:3/4/16 7:53:51表示特定事件的时间戳。”

“现在,让我们了解Splunk事件类型如何帮助您对类似事件进行分组。

Splunk事件类型

假设您有一个包含员工姓名和员工ID的字符串,并且您希望使用单个搜索查询搜索该字符串,而不是单独搜索它们。Splunk事件类型可以在这里帮助您。它们将这两个单独的Splunk事件分组,您可以将此字符串保存为单个事件类型(Employee_Detail)。

Splunk事件类型指的是一组数据,这些数据有助于根据常见特征对事件进行分类。它是一个用户定义的字段,可以扫描大量数据,并以仪表板的形式返回搜索结果。您还可以根据搜索结果创建警报。”请注意,在定义事件类型时不能使用管道字符或子搜索。但是,您可以将一个或多个标记与事件类型相关联。现在,让我们了解如何创建这些Splunk事件类型。有多种方法可以创建事件类型:

使用Search使用Build event type实用程序使用Splunk Web配置文件(eventtypes.conf)

让我们更详细地了解它:1。使用搜索:我们可以通过编写一个简单的搜索查询来创建事件类型。执行以下步骤创建一个:>使用搜索字符串运行搜索例如:index=emp_details emp_id=3;>单击“另存为”并选择事件类型。您可以参考下面的屏幕截图以获得更好的理解:

Splunk-Event-Types-Splunk-events-Edureka

2。使用生成事件类型实用程序:生成事件类型实用程序允许您基于搜索返回的Splunk事件动态创建事件类型。此实用程序还允许您为事件类型指定特定颜色。

您可以在搜索结果中找到此实用程序。让我们进行以下步骤:Splunk-event-actions-splunk-events-Edureka步骤1:打开下拉事件菜单步骤2:找到事件时间戳旁边的向下箭头步骤3:单击上面屏幕截图中显示的“生成事件类型”后,单击“生成事件类型”,它将根据特定搜索返回选定的事件集。

3.使用Splunk Web:这是创建事件类型的最简单方法。为此,您可以执行以下步骤:?转到设置?导航到事件类型?Click新的

让我以同一个雇员为例来简化它。在这种情况下,搜索查询将是相同的:index=emp_details emp_id=3

请参考下面的屏幕截图以获得更好的理解:

4。配置文件(eventtypes.conf):可以通过直接编辑创建事件类型事件类型.conf$SPLUNK_HOME/etc/system/local中的配置文件例如:“Employee_Detail”请参阅下面的屏幕截图,以便更好地理解:splunk-eventtype-conf-Edureka

,您应该了解如何创建和显示事件类型。接下来,让我们学习如何使用Splunk标记,以及它们如何使您的数据更加清晰。

Splunk标记您必须知道标记的一般含义。我们中的大多数人使用Facebook中的标记功能在帖子或照片中标记朋友。即使在Splunk中,标记也以类似的方式工作。让我们用一个例子来理解这一点。我们有一个Splunk索引的emp_id字段。现在,您需要为emp_id=2字段/值对提供一个标记(Employee2)。我们可以为emp_id=2创建一个标记,现在可以使用Employee2进行搜索。

Splunk标记用于为特定字段和值组合分配名称。这是在搜索时成对获得结果的最简单方法。任何事件类型都可以有多个标记以获得快速结果。它有助于更有效地搜索事件数据组。对键值对进行标记有助于获取与特定事件相关的信息,而事件类型提供与其关联的所有Splunk事件的信息。您还可以将多个标记分配给单个值。”

“查看右侧的屏幕截图以创建Splunk标记。

转到设置->标记

现在,您可能已经了解了标记是如何创建的。现在让我们了解如何管理Splunk标记。标记页中的“设置”下有三个视图:1。按字段值对2列出。按标记名3列出。所有唯一的标记对象

让我们了解更多细节,并了解管理和快速访问标记与字段/值对之间的关联的不同方法。一。按字段值对列出:这有助于查看或定义字段/值对的一组标记。您可以看到特定标记的此类对的列表。请参阅下面的屏幕截图以获得更好的理解:

splunk-tags-field-value-splunk-events-Edureka

2.按标记名列出:它帮助您查看和编辑字段/值对集。通过转到“按标记名列出”视图,然后单击标记名,可以找到特定标记的字段/值对列表。这将带您进入标记的详细信息页。示例:打开employee 2标记的详细信息页。请参阅下面的屏幕截图以获得更好的理解:

splunk-tags-list-by-tag-name-splunk-events-Edureka

3。所有唯一的标记对象:它帮助您提供系统中所有唯一的标记名称和字段/值对。您可以搜索特定的标记,以快速查看与其关联的所有字段/值对。您可以轻松地维护权限,以启用或禁用特定的标记。

请参阅下面的屏幕截图以获得更好的理解:

splunk-tags-unique-tag-splunk-events-Edureka

现在,有两种方法可以搜索标记:

如果我们需要搜索与任何字段中的值关联的标记,我们可以使用:tag=在上面的例子中,如果我们在一个指定的字段中寻找一个与一个值相关联的标记,我们可以使用:tag:=在上面的例子中,我们可以使用:tag::emp_id=employee2

在这个博客中,我已经解释了三个知识对象(Splunk事件、事件类型和标记),它们有助于让你的搜索更容易。在我的下一篇博客中,我将解释更多的知识对象,比如Splunk字段、字段提取的工作原理和Splunk查找。希望您喜欢阅读我的第二篇关于知识对象的博客。

您想学习Splunk并在您的业务中实现它吗?在这里查看我们的Splunk认证培训,该培训包括讲师指导的现场培训和真实的项目体验

你也可能喜欢

发表评论

您的电子邮件地址不会被公开。 必填项已用 * 标注

提示:点击验证后方可评论!

插入图片
人工智能电影有哪些 投稿者
我还没有学会写个人说明!
最近文章
  • * 没有更多文章了
  • 热门搜索

    分类目录