logo

Обекти на знанието Splunk: Събития Splunk, типове събития и етикети

Основен Голяма Информация Обекти на знанието Splunk: Събития Splunk, типове събития и етикети



В този блог с уроци за Splunk ще научите различните обекти на знанието като Splunk събития, типове събития и етикети Splunk.

В предишния си блог говорих за 3 обекта на знанието: Часова диаграма на Splunk, модел на данни и предупреждение които бяха свързани с отчитане и визуализиране на данни. В случай, че искате да разгледате, можете да се обърнете тук . В този блог ще обясня Splunk събития, типове събития и Splunk тагове.
Тези обекти на знанието помагат за обогатяване на вашите данни, за да ги улеснят при търсене и докладване.

И така, нека да започнем със Splunk Events.

сливане сортиране c ++ код

Splunk събития

Събитието се отнася до всяка отделна част от данните. Персонализираните данни, които са били препратени към Splunk Server, се наричат ​​Splunk Events. Тези данни могат да бъдат във всякакъв формат, например: низ, число или JSON обект.





Позволете ми да ви покажа как изглеждат събитията в Splunk:

splunk-events-edureka
Както можете да видите на горната екранна снимка, има полета по подразбиране (Host, Source, Sourcetype и Time), които се добавят след индексиране. Нека разберем тези полета по подразбиране:



  1. Хост: Хостът е име на IP адрес на устройство или уред, откъдето идват данните. В горната екранна снимка,My-Machineе домакин.
  2. Източник: Източникът е мястото, откъдето идват данните на хоста. Това е пълното име на път или файл или директория в машината.
    Например:C: Splunkemp_data.txt
  3. Sourcetype: Sourcetype идентифицира формата на данните, независимо дали става дума за регистрационен файл, XML, CSV или поле за нишка. Той съдържа структурата на данните за събитието.
    Например:data_data
  4. Индекс: Това е името на индекса, където суровите данни се индексират. Ако не посочите нищо, то влиза в индекс по подразбиране.
  5. Време: Това е поле, което показва времето, в което е генерирано събитието. Той е баркодиран при всяко събитие и не може да бъде променен. Можете да го преименувате или нарязвате за определен период от време, за да промените представянето му.
    Например:3/4/16 7:53:51представлява клеймото на дадено събитие.

Сега нека научим как типовете Splunk Event ви помагат да групирате подобни събития.

Типове събития на Splunk

Да приемем, че имате низ, съдържащ името на служителя иидентификационен номер на служителда сеи искате да търсите низа, като използвате една заявка за търсене, вместо да ги търсите поотделно. Типовете Splunk Event могат да ви помогнат тук. Те групират тези две отделни събития Splunk и можете да запазите този низ като единичен тип събитие (Employee_Detail).

  • Типът събитие Splunk се отнася до колекция от данни, която помага при категоризирането на събитията въз основа на общи характеристики.
  • Това е дефинирано от потребителя поле, което сканира огромно количество данни и връща резултатите от търсенето под формата на табла. Можете също да създавате сигнали въз основа на резултатите от търсенето.

Имайте предвид, че не можете да използвате символ на контур или под-търсене, докато дефинирате тип събитие. Но можете да свържете един или повече тагове с тип събитие.Сега нека научим как се създават тези типове събития Splunk.
Има няколко начина за създаване на тип събитие:



  1. Използване на Търсене
  2. Използване на помощната програма за тип събитие за изграждане
  3. Използване на Splunk Web
  4. Конфигурационни файлове (eventtypes.conf)

Нека да влезем в повече подробности, за да го разберем правилно:

един. Използване на Търсене: Можем да създадем тип събитие, като напишем проста заявка за търсене.
Преминете през стъпките по-долу, за да създадете такъв:
> Стартирайте търсене с низа за търсене
Например: index = emp_details emp_id = 3
> Щракнете върху Запазване като и изберете Тип събитие.
Можете да се обърнете към екрана по-долу, за да получите по-добро разбиране:


 2. Използване на помощната програма за тип събитие за изграждане: Помощната програма Build Event Type ви позволява да създавате динамично типове събития въз основа на събития Splunk, върнати от търсенията. Тази програма също ви позволява да присвоявате специфични цветове на типовете събития.


Можете да намерите тази програма в резултатите от вашето търсене. Нека да преминем през стъпките по-долу: Splunk-event-actions-splunk-events-Edureka
Стъпка 1: Отворете падащото меню за събития
Стъпка 2: Намерете стрелката надолу до клеймото за събитие
Стъпка 3: Щракнете върху Тип на събитието за изграждане
След като щракнете върху ‘Build Event Type’, показан на горната екранна снимка, той ще върне избрания набор от събития въз основа на конкретно търсене.

3. Използване на Splunk Web: Това е най-лесният начин да създадете тип събитие.
За това можете да изпълните следните стъпки:
»Отидете в Настройки
»Отидете до Evеnt Видове
»Щракнете върху New

Нека да взема същия пример за служител, за да го улесня.
В този случай заявката за търсене би била една и съща:
индекс = emp_details emp_id = 3

Вижте скрийншота по-долу, за да получите по-добро разбиране:

Четири. Конфигурационни файлове (eventtypes.conf): Можете да създавате типове събития чрез директно редактиране на конфигурационния файл eventtypes.conf в $ SPLUNK_HOME / etc / system / local
Например: „Employee_Detail”
Вижте скрийншота по-долу, за да получите по-добро разбиране:

Вече бихте разбрали как се създават и показват типовете събития. След това нека научим как могат да се използват маркерите Splunk и как те внасят яснота във вашите данни.


Splunk тагове

Трябва да сте наясно какво означава етикет като цяло. Повечето от нас използват функцията за маркиране във Facebook, за да маркират приятели в публикация или снимка. Дори в Splunk, маркирането работи по подобен начин. Нека разберем това с пример. Имаме поле emp_id за индекс Splunk. Сега искате да предоставите маркер (Служител2) на двойка поле / стойност emp_id = 2. Можем да създадем маркер за emp_id = 2, който вече може да се търси с помощта на Employee2.

  • Splunk таговете се използват за присвояване на имена на конкретни полета и комбинации от стойности.
  • Това е най-простият метод за получаване на резултатите по двойки, докато търсите. Всеки тип събитие може да има множество тагове, за да се получат бързи резултати.
  • Помага за търсенегрупи от данни за събития по-ефективно.
  • Маркирането се извършва върху двойката ключови стойности, което помага да се получи информация, свързана с конкретно събитие, докато тип събитие предоставя информацията за всички събития Splunk, свързани с него.
  • Можете също да присвоите множество маркери на една стойност.

Погледнете екранната снимка от дясната страна, за да създадете маркер Splunk.

Отидете в Настройки -> Етикети

рубин на релсов пазар на труда

Сега може би сте разбрали как се създава маркер. Нека сега разберем как се управляват маркерите Splunk. Има три изгледа в Страницата с етикети в Настройки:
1. Списък по двойка стойност на полето
2. Списък по име на маркера
3. Всички уникални обекти на маркери

Нека да влезем в повече подробности и да разберем различни начини за управлениеи да получите бърз достъп до асоциации, които се правят между тагове и двойки поле / стойност.

един. Списък по двойка стойност на полето: Това ви помага да прегледате или дефинирате набор от маркери за двойка поле / стойност. Можете да видите списъка на такива сдвоявания за определен маркер.
Вижте скрийншота по-долу, за да получите по-добро разбиране:


2. Списък по име на маркера: Помага ви да преглеждате и редактирате наборите от двойки поле / стойност. Можете да намерите списъка на сдвояване на поле / стойност за определен маркер, като отидете на изглед „списък по име на етикет“ и след това щракнете върху името на маркера. Това ще ви отведе до страницата с подробности за маркера.
Пример: Отворете страницата с подробности за етикет на служител 2.
Вижте скрийншота по-долу, за да получите по-добро разбиране:

3. Всички уникални обекти на маркери: Помага ви да предоставите всички уникални имена на маркери и сдвоявания поле / стойност във вашата система. Можете да търсите в определен маркер, за да видите бързо всички двойки поле / стойност, с които е свързан. Можете лесно да поддържате разрешенията, за да активирате или деактивирате определен маркер.

Вижте скрийншота по-долу, за да получите по-добро разбиране:

дълбоко копие срещу плитко копие Java

Сега има 2 начина за търсене на тагове:

  • Ако трябва да търсим маркер, свързан със стойност във всяко поле, можем да използваме:
    таг =
    В горния пример това би било: tag = worker2
  • Ако търсим маркер, свързан със стойност в определено поле, можем да използваме:
    таг :: =
    В горния пример това би било: tag :: emp_id = worker2

В този блог съм обяснил три обекта на знанието (Splunk събития, тип на събитието и тагове), които помагат да улесните търсенията си. В следващия си блог ще обясня още някои обекти на знанието като Splunk полета, как работи извличането на полета и справки Splunk. Надявам се да ви е харесало да четете втория ми блог за обекти на знанието.

Искате ли да научите Splunk и да го внедрите във вашия бизнес? Вижте нашите тук това идва с инструкторско обучение на живо и опит в реалния живот на проекти.

Голяма Информация

Категории

Popular Articles

Прилагане на Hadoop с Data Science

Всичко, което трябва да знаете за методите с масиви на JavaScript

Как да задам път в Java?

Значение на науката за данни с Касандра

Проучване на Ansible кула с практически ръце

Java EnumSet: Как да използвам EnumSet в Java?

Списъци в Python: Всичко, което трябва да знаете за списъците на Python

Как да създам отметка в HTML?

Урок за дизайн на оформлението на Android: Всичко, което трябва да знаете

Блокчейн приложения, които променят света