logo

Obiekty wiedzy Splunk: zdarzenia Splunk, typy wydarzeń i tagi

Główny Big Data Obiekty wiedzy Splunk: zdarzenia Splunk, typy wydarzeń i tagi



W tym samouczku na blogu Splunk poznasz różne obiekty wiedzy, takie jak zdarzenia Splunk, typy zdarzeń i tagi Splunk.

Na moim poprzednim blogu mówiłem o 3 obiektach wiedzy: Splunk Timechart, model danych i alert które były związane z raportowaniem i wizualizacją danych. Jeśli chcesz zobaczyć, możesz polecić tutaj . Na tym blogu wyjaśnię wydarzenia Splunk, typy zdarzeń i tagi Splunk.
Te obiekty wiedzy pomagają wzbogacać dane, aby ułatwić ich wyszukiwanie i raportowanie.

Zacznijmy więc od Splunk Events.

Wydarzenia Splunk

Zdarzenie odnosi się do każdego pojedynczego fragmentu danych. Dane niestandardowe, które zostały przekazane do Splunk Server, nazywane są Splunk Events. Dane te mogą mieć dowolny format, na przykład: ciąg znaków, liczba lub obiekt JSON.





Pokażę ci, jak wyglądają wydarzenia w Splunk:

splunk-events-edureka
Jak widać na powyższym zrzucie ekranu, istnieją domyślne pola (Host, Source, Sourcetype i Time), które są dodawane po indeksowaniu. Pozwól nam zrozumieć te domyślne pola:



  1. Host: host to nazwa adresu IP komputera lub urządzenia, z którego pochodzą dane. Na powyższym zrzucie ekranuMy-Machinejest gospodarzem.
  2. Źródło: Źródło to źródło, z którego pochodzą dane hosta. Jest to pełna ścieżka dostępu lub plik lub katalog w maszynie.
    Na przykład:C: Splunkemp_data.txt
  3. Sourcetype: Sourcetype określa format danych, niezależnie od tego, czy jest to plik dziennika, XML, CSV, czy pole wątku. Zawiera strukturę danych wydarzenia.
    Na przykład:dane_pracownika
  4. Indeks: jest to nazwa indeksu, w którym indeksowane są surowe dane. Jeśli niczego nie określisz, trafi to do indeksu domyślnego.
  5. Czas: Jest to pole, które wyświetla czas, w którym zdarzenie zostało wygenerowane. Jest oznaczony kodem kreskowym przy każdym wydarzeniu i nie można go zmienić. Możesz zmienić jego nazwę lub pokroić go na pewien czas, aby zmienić jego prezentację.
    Na przykład:3/4/16 7:53:51reprezentuje sygnaturę czasową określonego wydarzenia.

Teraz pozwól nam dowiedzieć się, w jaki sposób typy wydarzeń Splunk pomagają grupować podobne wydarzenia.

Typy wydarzeń Splunk

Załóżmy, że masz ciąg znaków zawierający nazwisko pracownika idowód pracownikadochcesz przeszukać ciąg przy użyciu pojedynczego zapytania, zamiast przeszukiwać je pojedynczo. Mogą ci w tym pomóc typy wydarzeń Splunk. Grupują te dwa oddzielne zdarzenia Splunk i możesz zapisać ten ciąg jako pojedynczy typ zdarzenia (Employee_Detail).

  • Typ zdarzenia Splunk odnosi się do zbioru danych, które pomagają w kategoryzowaniu zdarzeń na podstawie wspólnych cech.
  • Jest to pole definiowane przez użytkownika, które skanuje ogromną ilość danych i zwraca wyniki wyszukiwania w postaci dashboardów. Możesz także tworzyć alerty na podstawie wyników wyszukiwania.

Zwróć uwagę, że nie możesz używać pionowej kreski ani wyszukiwania podrzędnego podczas definiowania typu zdarzenia. Możesz jednak powiązać jeden lub więcej tagów z typem zdarzenia.Teraz nauczmy się, jak tworzone są te typy zdarzeń Splunk.
Istnieje wiele sposobów tworzenia typu wydarzenia:



  1. Korzystanie z wyszukiwania
  2. Korzystanie z narzędzia Build Event Type Utility
  3. Korzystanie z Splunk Web
  4. Pliki konfiguracyjne (eventtypes.conf)

Przejdźmy bardziej szczegółowo, aby właściwie to zrozumieć:

jeden. Korzystanie z wyszukiwania: Możemy utworzyć typ zdarzenia, pisząc proste zapytanie wyszukiwania.
Wykonaj poniższe kroki, aby je utworzyć:
> Przeprowadź wyszukiwanie za pomocą ciągu wyszukiwania
Na przykład: index = emp_details emp_id = 3
> Kliknij Zapisz jako i wybierz Typ zdarzenia.
Możesz zapoznać się z poniższym zrzutem ekranu, aby uzyskać lepsze zrozumienie:

pytania do wywiadu dotyczącego usługi Salesforce w chmurze


2. Korzystanie z narzędzia Build Event Type Utility: Narzędzie Build Event Type umożliwia dynamiczne tworzenie typów zdarzeń na podstawie zdarzeń Splunk zwracanych przez wyszukiwania. To narzędzie umożliwia również przypisywanie określonych kolorów do typów zdarzeń.


Możesz znaleźć to narzędzie w wynikach wyszukiwania. Przejdźmy przez poniższe kroki: Splunk-event-actions-splunk-events-Edureka
Krok 1: Otwórz rozwijane menu zdarzeń
Krok 2: znajdź strzałkę w dół obok sygnatury czasowej wydarzenia
Krok 3: Kliknij Typ zdarzenia kompilacji
Po kliknięciu „Build Event Type” wyświetlonego na powyższym zrzucie ekranu zwróci on wybrany zestaw zdarzeń na podstawie określonego wyszukiwania.

binarny na dziesiętny kod Java

3. Korzystanie z Splunk Web: To najłatwiejszy sposób tworzenia typu wydarzenia.
W tym celu możesz wykonać następujące kroki:
' Przejdź do ustawień
»Nawiguj do Evjestnt Types
»Kliknij opcję Nowy

Podam ten sam przykład pracownika, aby to ułatwić.
Zapytanie wyszukiwania byłoby takie samo w tym przypadku:
index = emp_details emp_id = 3

Zapoznaj się z poniższym zrzutem ekranu, aby uzyskać lepsze zrozumienie:

Cztery. Pliki konfiguracyjne (eventtypes.conf): Możesz tworzyć typy zdarzeń bezpośrednio edytując plik konfiguracyjny eventtypes.conf w $ SPLUNK_HOME / etc / system / local
Na przykład: „Employee_Detail”
Zapoznaj się z poniższym zrzutem ekranu, aby uzyskać lepsze zrozumienie:

Do tej pory zrozumiałbyś, jak tworzy się i wyświetla typy zdarzeń. Następnie dowiedzmy się, jak można używać tagów Splunk i jak zapewniają one przejrzystość danych.


Tagi Splunk

Musisz być świadomy tego, co ogólnie oznacza tag. Większość z nas korzysta z funkcji oznaczania na Facebooku, aby oznaczać znajomych w poście lub na zdjęciu. Nawet w Splunku tagowanie działa w podobny sposób. Zrozummy to na przykładzie. Mamy pole emp_id dla indeksu Splunk. Teraz chcesz podać tag (Pracownik2) do pary pole / wartość emp_id = 2. Możemy stworzyć tag dla emp_id = 2, który można teraz przeszukiwać za pomocą Employee2.

  • Tagi Splunk służą do przypisywania nazw do określonych pól i kombinacji wartości.
  • Jest to najprostsza metoda uzyskania wyników w parach podczas wyszukiwania. Każdy typ zdarzenia może mieć wiele tagów, aby uzyskać szybkie wyniki.
  • Pomaga w wyszukiwaniugrupy danych zdarzeń bardziej efektywnie.
  • Znakowanie odbywa się na parze klucz-wartość, która pomaga uzyskać informacje związane z określonym zdarzeniem, podczas gdy typ zdarzenia dostarcza informacji o wszystkich powiązanych z nim zdarzeniach Splunk.
  • Możesz również przypisać wiele tagów do jednej wartości.

Spójrz na zrzut ekranu po prawej stronie, aby utworzyć tag Splunk.

Przejdź do Ustawienia -> Tagi

Teraz być może zrozumiałeś, jak powstaje tag. Przyjrzyjmy się teraz, jak zarządza się tagami Splunk. Strona znaczników w Ustawieniach ma trzy widoki:
1. Lista według pary wartości pola
2. Lista według nazwy znacznika
3. Wszystkie unikalne obiekty tagów

Omówmy więcej szczegółów i poznajmy różne sposoby zarządzaniai uzyskaj szybki dostęp do skojarzeń utworzonych między tagami i parami pole / wartość.

jeden. Lista według pary wartości pola: Pomaga to przejrzeć lub zdefiniować zestaw tagów dla pary pole / wartość. Możesz zobaczyć listę takich par dla konkretnego tagu.
Zapoznaj się z poniższym zrzutem ekranu, aby uzyskać lepsze zrozumienie:


2. Lista według nazwy tagu: Pomaga przeglądać i edytować zestawy par pole / wartość. Listę par pól / wartości dla określonego tagu można znaleźć, przechodząc do widoku „lista według nazwy tagu”, a następnie klikając nazwę tagu. Spowoduje to przejście do strony ze szczegółami tagu.
Przykład: Otwórz stronę szczegółów tagu pracownika 2.
Zapoznaj się z poniższym zrzutem ekranu, aby uzyskać lepsze zrozumienie:

3. Wszystkie unikalne obiekty tagów: Pomaga w zapewnieniu wszystkich unikalnych nazw tagów i par pól / wartości w systemie. Możesz przeszukać określony znacznik, aby szybko zobaczyć wszystkie pary pole / wartość, z którymi jest powiązany. Możesz łatwo zachować uprawnienia, włączyć lub wyłączyć określony tag.

Samouczek dla programistów Salesforce dla początkujących

Zapoznaj się z poniższym zrzutem ekranu, aby uzyskać lepsze zrozumienie:

Teraz istnieją 2 sposoby wyszukiwania tagów:

  • Jeśli potrzebujemy wyszukać tag powiązany z wartością w dowolnym polu, możemy użyć:
    tag =
    W powyższym przykładzie byłoby to: tag = pracownik2
  • Jeśli szukamy tagu związanego z wartością w określonym polu, możemy użyć:
    tag :: =
    W powyższym przykładzie byłoby to: tag :: emp_id = pracownik2

W tym blogu wyjaśniłem trzy obiekty wiedzy (zdarzenia Splunk, typ zdarzenia i tagi), które ułatwiają wyszukiwanie. Na moim następnym blogu wyjaśnię więcej obiektów wiedzy, takich jak pola Splunk, jak działa wyodrębnianie pól i wyszukiwania Splunk. Mam nadzieję, że podobał Ci się mój drugi blog o obiektach wiedzy.

Chcesz poznać Splunk i wdrożyć go w swoim biznesie? Sprawdź nasze tutaj, który obejmuje szkolenie na żywo prowadzone przez instruktora i rzeczywiste doświadczenie projektowe.

Big Data

Kategorie

Popular Articles

Jak obsługiwać alerty i wyskakujące okienka w Selenium

Jak zaimplementować i bawić się ciągami znaków w Pythonie

Wszystko, co musisz wiedzieć o kryciu w CSS

Jak zaimplementować metodę Splice () w JavaScript?

Certyfikacja Informatica: wszystko, co trzeba wiedzieć

Wynagrodzenie AWS: ile zarabia profesjonalista AWS?

Wszystko, co musisz wiedzieć o module równoważenia obciążenia aplikacji

Zarządzanie jakością projektu - jak zoptymalizować jakość projektu

Jaka jest różnica między HTML a XML?

Jak używać Pythona do DevOps?