logo

Splunk zināšanu objekti: Splunk notikumi, notikumu veidi un tagi

Galvenais Lielie Dati Splunk zināšanu objekti: Splunk notikumi, notikumu veidi un tagi



Šajā Splunk apmācības emuārā jūs uzzināsiet dažādus zināšanu objektus, piemēram, Splunk Events, Event Types un Splunk Tags.

Iepriekšējā emuārā es runāju par 3 zināšanu objektiem: Splunk Timechart, datu modelis un brīdinājums kas bija saistīti ar datu ziņošanu un vizualizēšanu. Ja vēlaties apskatīties, varat atsaukties šeit . Šajā emuārā es izskaidrošu Splunk notikumus, notikumu veidus un Splunk tagus.
Šie zināšanu objekti palīdz bagātināt jūsu datus, lai tos būtu vieglāk meklēt un ziņot.

Tātad, sāksim darbu ar Splunk Events.

Splunk Notikumi

Notikums attiecas uz jebkuru atsevišķu datu daļu. Pielāgotos datus, kas ir pārsūtīti uz Splunk Server, sauc par Splunk Events. Šie dati var būt jebkurā formātā, piemēram: virkne, skaitlis vai JSON objekts.





Ļaujiet man parādīt, kā notikumi izskatās Splunk:

splunk-events-edureka
Kā redzat iepriekš redzamajā ekrānuzņēmumā, ir noklusējuma lauki (resursdators, avots, avota tips un laiks), kas tiek pievienoti pēc indeksēšanas. Ļaujiet mums saprast šos noklusējuma laukus:



  1. Resursdators: resursdators ir mašīnas vai ierīces IP adreses nosaukums, no kurienes nāk dati. Iepriekš redzamajā ekrānuzņēmumāMy-Machineir saimnieks.
  2. Avots: Avots ir resursdatora datu avots. Tas ir pilns ceļa nosaukums vai fails vai direktorijs mašīnā.
    Piemēram:C: Splunkemp_data.txt
  3. Sourcetype: Sourcetype identificē datu formātu neatkarīgi no tā, vai tas ir žurnāla fails, XML, CSV vai pavedienu lauks. Tajā ir notikuma datu struktūra.
    Piemēram:darbinieka_dati
  4. Indekss: Tas ir tā indeksa nosaukums, kurā tiek indeksēti neapstrādāti dati. Ja neko nenorādīsit, tas nonāk noklusējuma indeksā.
  5. Laiks: tas ir lauks, kas parāda laiku, kurā notikums tika ģenerēts. Katrā pasākumā tas tiek svītrkodēts, un to nevar mainīt. Jūs varat pārdēvēt vai sagriezt to uz noteiktu laiku, lai mainītu tā noformējumu.
    Piemēram:04.03.16 7:53:51apzīmē konkrēta notikuma laika zīmogu.

Tagad ļaujiet mums uzzināt, kā Splunk Event veidi palīdz jums grupēt līdzīgus notikumus.

Splunk notikumu veidi

Pieņemsim, ka jums ir virkne, kurā ir darbinieka vārds undarbinieka IDuzjūs vēlaties meklēt virknē, izmantojot vienu meklēšanas vaicājumu, nevis meklējot tos atsevišķi. Šeit var palīdzēt Splunk notikumu veidi. Viņi grupē šos divus atsevišķos Splunk notikumus, un jūs varat saglabāt šo virkni kā vienu notikuma veidu (Employee_Detail).

  • Splunk notikumu veids attiecas uz datu kolekciju, kas palīdz kategorizēt notikumus, pamatojoties uz kopīgajām īpašībām.
  • Tas ir lietotāja definēts lauks, kas skenē milzīgu datu daudzumu un atgriež meklēšanas rezultātus informācijas paneļu veidā. Varat arī izveidot brīdinājumus, pamatojoties uz meklēšanas rezultātiem.

Ņemiet vērā, ka, nosakot notikuma veidu, nevar izmantot pīķa rakstzīmi vai apakšmeklēšanu. Bet jūs varat saistīt vienu vai vairākus tagus ar notikuma tipu.Ļaujiet mums uzzināt, kā tiek veidoti šie Splunk notikumu veidi.
Notikuma veidu var izveidot vairākos veidos:



  1. Izmantojot meklēšanu
  2. Izmantojot Build Event Type Utility
  3. Izmantojot Splunk Web
  4. Konfigurācijas faili (eventtypes.conf)

Ļaujiet mums sīkāk iepazīties, lai to pareizi saprastu:

viens. Meklēšanas izmantošana: Mēs varam izveidot notikuma veidu, uzrakstot vienkāršu meklēšanas vaicājumu.
Lai izveidotu, veiciet tālāk norādītās darbības.
> Palaist meklēšanu ar meklēšanas virkni
Piemēram: index = emp_details emp_id = 3
> Noklikšķiniet uz Saglabāt kā un atlasiet Notikuma veids.
Lai iegūtu labāku izpratni, varat atsaukties uz šo ekrānuzņēmumu:


 2. Lietotnes Build Event Type utilīta izmantošana: Lietotne Build Event Type ļauj dinamiski izveidot notikumu veidus, pamatojoties uz Splunk notikumiem, kurus atgriež meklējumi. Šī lietderība arī ļauj piešķirt konkrētas krāsas notikumu tipiem.


Šo lietderību varat atrast savos meklēšanas rezultātos. Iziesim tālāk norādītās darbības. Splunk-event-actions-splunk-events-Edureka
1. darbība: atveriet nolaižamo izvēlni Notikumi
2. darbība. Atrodiet lejupvērsto bultiņu blakus notikuma laika zīmogam
3. solis: noklikšķiniet uz Izveidot notikuma veidu
Kad noklikšķināsit uz “Veidot notikuma veidu”, kas parādīts iepriekš redzamajā ekrānuzņēmumā, tas atgriezīs izvēlēto notikumu kopu, pamatojoties uz konkrētu meklēšanu.

3. Izmantojot Splunk Web: Tas ir vienkāršākais veids, kā izveidot notikuma veidu.
Lai to izdarītu, varat veikt šādas darbības:
»Atveriet sadaļu Iestatījumi
»Virzīties uz Evirnt veidi
»Noklikšķiniet uz Jauns

c ++ goto līnija

Ļaujiet man ņemt to pašu darbinieku piemēru, lai tas būtu viegli.
Meklēšanas vaicājums šajā gadījumā būtu vienāds:
indekss = emp_details emp_id = 3

Lai iegūtu labāku izpratni, skatiet zemāk redzamo ekrānuzņēmumu:

Četri. Konfigurācijas faili (eventtypes.conf): Jūs varat izveidot notikumu tipus, tieši rediģējot konfigurācijas failu eventtypes.conf mapē $ SPLUNK_HOME / etc / system / local
Piemērs: “Employee_Detail”
Lai iegūtu labāku izpratni, skatiet zemāk redzamo ekrānuzņēmumu:

Tagad jūs jau būtu sapratis, kā tiek veidoti un parādīti notikumu veidi. Pēc tam ļaujiet mums uzzināt, kā var izmantot Splunk tagus un kā tie nodrošina skaidrību jūsu datos.


Splunk tagi

Jums jāapzinās, ko tags vispār nozīmē. Lielākā daļa no mums izmanto marķēšanas funkciju Facebook, lai atzīmētu draugus ziņā vai fotoattēlā. Pat Splunkā iezīmēšana darbojas līdzīgā veidā. Sapratīsim to ar piemēru. Splunk indeksam mums ir lauks emp_id. Tagad vēlaties norādīt tagu (Employee2) lauka / vērtības pārim emp_id = 2. Mēs varam izveidot tagu emp_id = 2, kuru tagad var meklēt, izmantojot Employee2.

  • Splunk tagi tiek izmantoti, lai piešķirtu nosaukumus konkrētiem laukiem un vērtību kombinācijām.
  • Tā ir vienkāršākā metode, kā iegūt rezultātus pārī, meklējot. Jebkura veida pasākumam var būt vairāki tagi, lai iegūtu ātrus rezultātus.
  • Tas palīdz meklētpasākumu datu grupas efektīvāk.
  • Atzīmēšana tiek veikta atslēgas vērtību pārī, kas palīdz iegūt informāciju, kas saistīta ar konkrētu notikumu, savukārt notikuma veids sniedz informāciju par visiem ar to saistītajiem Splunk notikumiem.
  • Vienai vērtībai varat piešķirt arī vairākus tagus.

Apskatiet ekrānuzņēmumu labajā pusē, lai izveidotu tagu Splunk.

Atveriet sadaļu Iestatījumi -> Tagi

Tagad jūs, iespējams, esat sapratis, kā tiek izveidots tags. Ļaujiet mums tagad saprast, kā tiek pārvaldīti Splunk tagi. Taga lapas sadaļā Iestatījumi ir trīs skati.
1. Sarakstiet pēc lauka vērtību pāra
2. Sarakstiet pēc taga nosaukuma
3. Visi unikālie tagu objekti

Ļaujiet mums iedziļināties sīkāk un saprast dažādus pārvaldības veidusun ātri piekļūstiet asociācijām, kas izveidotas starp tagiem un lauku / vērtību pāriem.

viens. Sarakstīt pēc lauka vērtību pāra: Tas palīdz pārskatīt vai definēt lauku / vērtību pāra tagu kopu. Varat skatīt šādu pāru sarakstu konkrētam tagam.
Lai iegūtu labāku izpratni, skatiet zemāk redzamo ekrānuzņēmumu:


kas ir konstruktors pitonā

2. Sarakstīt pēc taga nosaukuma: Tas palīdz pārskatīt un rediģēt lauku / vērtību pāru kopas. Lauku / vērtību savienošanu pārī ar konkrētu tagu varat atrast, pārejot uz “sarakstu pēc taga nosaukuma” skatu un pēc tam noklikšķinot uz taga nosaukuma. Tiks atvērta taga detalizētās informācijas lapa.
Piemērs: Atveriet darbinieka 2 taga detalizētās informācijas lapu.
Lai iegūtu labāku izpratni, skatiet zemāk redzamo ekrānuzņēmumu:

3. Visi unikālie tagu objekti: Tas palīdz jums nodrošināt visus unikālos tagu nosaukumus un lauku / vērtību pārus jūsu sistēmā. Varat meklēt konkrētā tagā, lai ātri redzētu visus lauku / vērtību pārus, ar kuriem tas ir saistīts. Jūs varat viegli uzturēt atļaujas, lai iespējotu vai atspējotu noteiktu tagu.

Lai iegūtu labāku izpratni, skatiet zemāk redzamo ekrānuzņēmumu:

Tagad ir divi veidi, kā meklēt tagus:

  • Ja mums ir nepieciešams meklēt tagu, kas saistīts ar vērtību jebkurā laukā, mēs varam izmantot:
    tag =
    Iepriekš minētajā piemērā tas būtu: tags = darbinieks2
  • Ja mēs meklējam tagu, kas saistīts ar vērtību norādītajā laukā, mēs varam izmantot:
    tag :: =
    Iepriekš minētajā piemērā tas būtu: tag :: emp_id = darbinieks2

Šajā emuārā esmu izskaidrojis trīs zināšanu objektus (Splunk notikumi, notikuma veids un tagi), kas palīdz atvieglot meklēšanu. Nākamajā emuārā es paskaidrošu vēl dažus zināšanu objektus, piemēram, Splunk laukus, kā darbojas lauka ekstrakcija un Splunk lookups. Ceru, ka jums patika lasīt manu otro emuāru par zināšanu objektiem.

Vai vēlaties iemācīties Splunk un ieviest to savā biznesā? Pārbaudiet mūsu šeit tas nāk ar instruktoru vadītu tiešraides apmācību un reālās dzīves projektu pieredzi.

Lielie Dati

Kategorijas

Popular Articles

Viss, kas jums jāzina par Eval Python

Kubernetes apmācība - visaptveroša rokasgrāmata Kubernetes

Kā ieviest DateFilter AngularJS ar piemēriem

Pamācība - nepārtraukta uzraudzība ar Nagios

Kā ieviest Java kompozīciju dziļumā?

Karjeras maiņa: no Java uz Big Data / Hadoop

K ieviešana nozīmē noziedzības datu kopas kopu izveidi

Kā uzrakstīt savu pirmo viedo līgumu?

Kā izmantot Python DevOps?

Kā ieviest Splice metodi () Javascript?