U svom prethodnom blogu govorio sam o 3 objekta znanja: Grafikon vremena Splunk, model podataka i upozorenje koji su bili povezani s izvještavanjem i vizualizacijom podataka. U slučaju da želite pogledati, možete uputiti ovdje . U ovom blogu ću objasniti Splunk događaje, vrste događaja i Splunk oznake.
Ovi predmeti znanja pomažu u obogaćivanju vaših podataka kako bi im olakšali pretraživanje i izvještavanje.
Pa, krenimo sa Splunk Events.
Splunk događaji
Događaj se odnosi na bilo koji pojedinačni podatak. Prilagođeni podaci koji su proslijeđeni na Splunk Server nazivaju se Splunk Events. Ti podaci mogu biti u bilo kojem formatu, na primjer: niz, broj ili JSON objekt.
Dopustite mi da vam pokažem kako događaji izgledaju u Splunku:
Kao što možete vidjeti na gornjoj snimci zaslona, postoje zadana polja (Host, Source, Sourcetype i Time) koja se dodaju nakon indeksiranja. Razumijemo ova zadana polja:
- Domaćin: Host je naziv IP adrese uređaja ili uređaja odakle dolaze podaci. Na gornjoj snimci zaslona,Moj strojje domaćin.
- Izvor: Izvor je mjesto odakle dolaze podaci o hostu. To je puni naziv puta ili datoteka ili direktorij unutar stroja.
Na primjer:C: Splunkemp_data.txt - Izvorni tip: Izvorni oblik identificira format podataka, bilo da se radi o datoteci dnevnika, XML-u, CSV-u ili polju niti. Sadrži strukturu podataka događaja.
Na primjer:podaci o zaposleniku - Indeks: naziv je indeksa u kojem se indeksiraju sirovi podaci. Ako ništa ne navedete, to ide u zadani indeks.
- Vrijeme: To je polje koje prikazuje vrijeme u kojem je događaj generiran. Kodiran je kod svakog događaja i ne može se mijenjati. Možete ga preimenovati ili izrezati na određeno vrijeme kako biste promijenili njegovu prezentaciju.
Na primjer:3/3/16 7:53:51predstavlja vremensku oznaku određenog događaja.
Sada ćemo saznati kako tipovi Splunk događaja pomažu u grupiranju sličnih događaja.
Vrste događaja splunk
Pretpostavimo da imate niz koji sadrži ime zaposlenika iID zaposlenikadoi ako želite pretraživati niz pomoću jednog upita za pretraživanje, umjesto da ih tražite pojedinačno. Vrste događaja Splunk mogu vam ovdje pomoći. Oni grupiraju ova dva odvojena Splunk događaja i ovaj niz možete spremiti kao jednu vrstu događaja (Employee_Detail).
- Vrsta događaja Splunk odnosi se na zbirku podataka koja pomaže u kategorizaciji događaja na temelju zajedničkih karakteristika.
- To je korisničko definirano polje koje skenira ogromnu količinu podataka i vraća rezultate pretraživanja u obliku nadzornih ploča. Također možete stvoriti upozorenja na temelju rezultata pretraživanja.
Imajte na umu da tijekom definiranja vrste događaja ne možete koristiti znak cjevovoda ili pod pretraživanje. Ali, jednu ili više oznaka možete povezati s vrstom događaja.Sada, naučimo kako su stvorene ove vrste događaja Splunk.
Postoji više načina za stvaranje vrste događaja:
- Korištenje pretraživanja
- Korištenje uslužnog programa vrste događaja događaja
- Korištenje Splunk Weba
- Datoteke za konfiguraciju (eventtypes.conf)
Uđimo u detalje kako bismo to ispravno razumjeli:
jedan. Korištenje pretraživanja: Vrsta događaja možemo stvoriti pisanjem jednostavnog upita za pretraživanje.
Prođite kroz korake u nastavku da biste ga stvorili:
> Pokrenite pretraživanje pomoću niza za pretraživanje
Na primjer: index = emp_details emp_id = 3
> Kliknite Spremi kao i odaberite Vrsta događaja.
Da biste bolje razumjeli, možete se obratiti na snimku zaslona u nastavku:
c ++ pomoću prostora imena
2. Korištenje uslužnog programa vrste događaja gradnje: Uslužni program Build Event Type omogućuje vam dinamično stvaranje vrsta događaja na temelju Splunk događaja vraćenih pretraživanjima. Ovaj uslužni program također vam omogućuje dodjeljivanje određenih boja vrstama događaja.
Ovaj uslužni program možete pronaći u rezultatima pretraživanja. Prođimo kroz korake u nastavku: 
1. korak: Otvorite padajući izbornik događaja
Korak 2: Pronađite strelicu prema dolje pored vremenske oznake događaja
Korak 3: Kliknite Izgradi vrstu događaja
Jednom kada kliknete na 'Build Event Type' prikazan na gornjoj snimci zaslona, vratit će odabrani skup događaja na temelju određenog pretraživanja.
3. Korištenje Splunk Weba: Ovo je najlakši način za stvaranje vrste događaja.
Za to možete slijediti ove korake:
»Idite na Postavke
»Idite na Evjent vrste
»Kliknite Novo
Dopustite mi da uzmem isti primjer zaposlenika kako bih to olakšao.
Upit za pretraživanje u ovom bi slučaju bio isti:
index = emp_details emp_id = 3
Pogledajte donji snimak zaslona da biste dobili bolje razumijevanje:
Četiri. Datoteke za konfiguraciju (eventtypes.conf): Vrste događaja možete stvoriti izravnim uređivanjem konfiguracijske datoteke eventtypes.conf u $ SPLUNK_HOME / etc / system / local
Na primjer: 'Employee_Detail'
Pogledajte donji snimak zaslona da biste dobili bolje razumijevanje:
Do sada biste već razumjeli kako se vrste događaja stvaraju i prikazuju. Zatim saznajmo kako se Splunk oznake mogu koristiti i kako unose jasnoću u vaše podatke.
Splunk Oznake
Morate biti svjesni što oznaka uopće znači. Većina nas koristi značajku označavanja na Facebooku za označavanje prijatelja na postu ili fotografiji. Čak i u Splunku, označavanje djeluje na sličan način. Shvatimo to na primjeru. Imamo polje emp_id za Splunk indeks. Sada želite dati oznaku (Employee2) za emp_id = 2 par polje / vrijednost. Možemo stvoriti oznaku za emp_id = 2 koju sada možemo pretraživati pomoću Employee2.
- Splunk oznake koriste se za dodjeljivanje imena određenim poljima i kombinacijama vrijednosti.
- To je najjednostavnija metoda za dobivanje rezultata u paru tijekom pretraživanja. Bilo koja vrsta događaja može imati više oznaka za brze rezultate.
- Pomaže u pretraživanjuskupine podataka o događajima učinkovitije.
- Označavanje se vrši na paru vrijednosti ključ koji pomaže dobiti informacije povezane s određenim događajem, dok vrsta događaja pruža informacije o svim povezanim događajima Splunk.
- Također možete dodijeliti više oznaka jednoj vrijednosti.
Pogledajte snimku zaslona s desne strane da biste stvorili Splunk oznaku.
Idite na Postavke -> Oznake
Sad ste možda razumjeli kako se stvara oznaka. Da sada razumijemo kako se upravlja Splunk oznakama. Na stranici oznake u Postavkama nalaze se tri prikaza:
1. Popis po paru vrijednosti polja
2. Popis prema nazivu oznake
3. Svi jedinstveni objekti s oznakama
Uđimo u više detalja i shvatimo različite načine upravljanjai dobiti brz pristup asocijacijama koje su napravljene između oznaka i parova polja / vrijednosti.
jedan. Popis prema paru vrijednosti polja: To vam pomaže da pregledate ili definirate skup oznaka za par polje / vrijednost. Možete vidjeti popis takvih uparivanja za određenu oznaku.
Pogledajte donji snimak zaslona da biste dobili bolje razumijevanje:
2. Popis prema nazivu oznake: Pomaže vam u pregledu i uređivanju skupova parova polja / vrijednosti. Popis uparivanja polja / vrijednosti za određenu oznaku možete pronaći tako da odete u prikaz 'popis po nazivu oznake', a zatim kliknite naziv oznake. To vas vodi do stranice s detaljima oznake.
Primjer: Otvorite stranicu s detaljima oznake zaposlenika 2.
Pogledajte donji snimak zaslona da biste dobili bolje razumijevanje:
3. Svi jedinstveni objekti s oznakama: Pomaže vam pružiti sva jedinstvena imena oznaka i uparivanja polja / vrijednosti u vašem sustavu. Možete pretražiti određenu oznaku da biste brzo vidjeli sva parova polja / vrijednosti s kojima je povezana. Možete jednostavno održavati dozvole da biste omogućili ili onemogućili određenu oznaku.
Pogledajte donji snimak zaslona da biste dobili bolje razumijevanje:
Sada postoje 2 načina pretraživanja oznaka:
- Ako trebamo pretražiti oznaku povezanu s vrijednošću u bilo kojem polju, možemo koristiti:
oznaka =
U gornjem primjeru to bi bilo: tag = zaposlenik2 - Ako u određenom polju tražimo oznaku povezanu s vrijednošću, možemo koristiti:
oznaka :: =
U gornjem primjeru to bi bilo: tag :: emp_id = zaposlenik2
Na ovom blogu objasnio sam tri objekta znanja (Splunk događaji, vrsta događaja i oznake) koji pomažu u olakšavanju pretraživanja. U svom sljedećem blogu objasnit ću još neke objekte znanja poput Splunk polja, kako funkcionira ekstrakcija polja i Splunk pretraživanja. Nadam se da ste uživali čitajući moj drugi blog o objektima znanja.
Želite li naučiti Splunk i primijeniti ga u svom poslu? Pogledajte naš ovdje to dolazi s treningom uživo pod vodstvom instruktora i iskustvom u stvarnom životu.