V mojom predchádzajúcom blogu som hovoril o 3 znalostných objektoch: Splunk Timechart, dátový model a výstraha ktoré súviseli s vykazovaním a vizualizáciou údajov. Ak sa chcete pozrieť, môžete odkázať tu . V tomto blogu sa chystám vysvetliť udalosti Splunk, typy udalostí a značky Splunk.
Tieto znalostné objekty pomáhajú obohatiť vaše údaje, aby bolo možné ľahšie vyhľadávať a vytvárať o nich správy.
Začnime teda so Splunk Events.
Splunk Udalosti
Udalosť sa týka akejkoľvek jednotlivej časti údajov. Vlastné údaje, ktoré boli preposlané na server Splunk Server, sa nazývajú Splunk Events. Tieto údaje môžu byť v akomkoľvek formáte, napríklad: reťazec, číslo alebo objekt JSON.
Ukážem vám, ako vyzerajú udalosti v Splunk:
Ako vidíte na snímke vyššie, existujú predvolené polia (Hostiteľ, Zdroj, Sourcetype a Čas), ktoré sa pridajú po indexovaní. Pochopme tieto predvolené polia:
- Hostiteľ: Hostiteľ je názov adresy IP zariadenia alebo zariadenia, odkiaľ údaje pochádzajú. Na snímke vyššieMôj strojje hostiteľom.
- Zdroj: Zdroj je miesto, odkiaľ pochádzajú údaje hostiteľa. Je to úplná cesta alebo súbor alebo adresár v počítači.
Napríklad:C: Splunkemp_data.txt - Sourcetype: Sourcetype identifikuje formát údajov, či už ide o súbor denníka, XML, CSV alebo pole vlákna. Obsahuje dátovú štruktúru udalosti.
Napríklad:zamestnanec_data - Index: Je to názov indexu, kde sú indexované nespracované údaje. Ak nič neurčíte, prejde do predvoleného indexu.
- Čas: Je to pole, ktoré zobrazuje čas, v ktorom bola udalosť vygenerovaná. Pri každej udalosti je čiarový kód a nemožno ho zmeniť. Môžete zmeniť názov alebo rozdeliť ho na určitú dobu, aby ste zmenili jeho prezentáciu.
Napríklad:3/4/16 7:53:51predstavuje časovú známku konkrétnej udalosti.
Teraz sa naučíme, ako vám typy udalostí Splunk pomáhajú zoskupovať podobné udalosti.
Splunk typy udalostí
Predpokladajme, že máte reťazec obsahujúci meno zamestnanca azamestnanecké IDdoAk chcete prehľadať reťazec pomocou jedného vyhľadávacieho dopytu, namiesto toho, aby ste ich prehľadávali jednotlivo. Tu vám môžu pomôcť typy Splunk Event. Zoskupujú tieto dve samostatné udalosti Splunk a tento reťazec môžete uložiť ako jeden typ udalosti (Employee_Detail).
kedy použiť. v jave
- Typ udalosti Splunk označuje súbor údajov, ktorý pomáha pri kategorizácii udalostí na základe spoločných charakteristík.
- Je to pole definované používateľom, ktoré skenuje obrovské množstvo údajov a vracia výsledky vyhľadávania vo forme informačných panelov. Na základe výsledkov vyhľadávania môžete tiež vytvárať výstrahy.
Nezabudnite, že pri definovaní typu udalosti nemôžete použiť znak rúry alebo čiastkové vyhľadávanie. K typu udalosti však môžete priradiť jednu alebo viac značiek.Teraz sa naučme, ako sa vytvárajú tieto typy udalostí Splunk.
Existuje niekoľko spôsobov, ako vytvoriť typ udalosti:
- Pomocou vyhľadávania
- Používanie nástroja Build Event Type Utility
- Používanie Splunk Web
- Konfiguračné súbory (eventtypes.conf)
Poďme ísť podrobnejšie, aby sme tomu správne porozumeli:
jeden. Pomocou vyhľadávania: Typ udalosti môžeme vytvoriť napísaním jednoduchého vyhľadávacieho dotazu.
Prejdite si nasledujúce kroky a vytvorte si jeden:
> Spustite vyhľadávanie pomocou vyhľadávacieho reťazca
Napríklad: index = emp_details emp_id = 3
> Kliknite na Uložiť ako a vyberte Typ udalosti.
Môžete sa pozrieť na nasledujúcu snímku obrazovky, aby ste lepšie pochopili:
2. Používanie nástroja typu udalosti udalosti: Obslužná program Build Event Type umožňuje dynamicky vytvárať typy udalostí na základe udalostí Splunk vrátených hľadaním. Táto utilita tiež umožňuje priradiť konkrétne farby typom udalostí.
Tento nástroj nájdete vo výsledkoch vyhľadávania. Prejdime si nasledujúce kroky: 
Krok 1: Otvorte rozbaľovaciu ponuku udalostí
Krok 2: Nájdite šípku nadol vedľa časovej pečiatky udalosti
Krok 3: Kliknite na položku Vytvoriť typ udalosti
Po kliknutí na položku „Vytvoriť typ udalosti“ zobrazenú na snímke obrazovky vyššie sa vráti vybratá skupina udalostí na základe konkrétneho vyhľadávania.
3. Používanie Splunk Web: Toto je najjednoduchší spôsob vytvorenia typu udalosti.
Môžete postupovať podľa týchto krokov:
' Choď do nastavení
»Prejdite na položku Evjent typy
»Kliknite na položku Nové
Vezmem si toho istého zamestnanca ako príklad, aby som to uľahčil.
Vyhľadávací dopyt by bol v tomto prípade rovnaký:
index = emp_details emp_id = 3
java zmena zdvojnásobiť na int
Pre lepšie pochopenie použite nasledujúci obrázok obrazovky:
Štyri. Konfiguračné súbory (eventtypes.conf): Typy udalostí môžete vytvárať priamou úpravou konfiguračného súboru eventtypes.conf v $ SPLUNK_HOME / etc / system / local
Napríklad: „Employee_Detail“
Pre lepšie pochopenie použite nasledujúci obrázok obrazovky:
Doteraz by ste pochopili, ako sa vytvárajú a zobrazujú typy udalostí. Ďalej sa dozvieme, ako možno značky Splunk použiť a ako prinášajú jasnosť vašich údajov.
Splunk Značky
Musíte si byť vedomí toho, čo značka všeobecne znamená. Väčšina z nás používa funkciu označovania na Facebooku na označovanie priateľov v príspevku alebo na fotografii. Aj v prípade Splunk funguje značkovanie podobným spôsobom. Poďme to pochopiť na príklade. Máme pole emp_id pre Splunk index. Teraz chcete poskytnúť značku (Employee2) dvojici emp_id = 2 pole / hodnota. Môžeme vytvoriť značku pre emp_id = 2, ktorú je možné teraz vyhľadať pomocou Employee2.
- Značky Splunk sa používajú na priradenie názvov konkrétnym poliam a kombináciám hodnôt.
- Je to najjednoduchšia metóda, ako získať výsledky pri hľadaní v páre. Akýkoľvek typ udalosti môže mať viac značiek, aby získal rýchle výsledky.
- Pomáha to hľadaťskupiny údajov o udalostiach efektívnejšie.
- Označovanie sa vykonáva na páre kľúč hodnota, ktorý pomáha získať informácie týkajúce sa konkrétnej udalosti, zatiaľ čo typ udalosti poskytuje informácie o všetkých udalostiach Splunk, ktoré sú s ňou spojené.
- K jednej hodnote môžete tiež priradiť viac značiek.
Pozerajte sa na snímku obrazovky na pravej strane a vytvorte značku Splunk.
Prejdite do časti Nastavenia -> Značky
Možno ste pochopili, ako sa značka vytvára. Poďme teraz pochopiť, ako sa spravujú značky Splunk. Na stránke Značka v časti Nastavenia sú tri zobrazenia:
1. Zoznam podľa dvojice hodnotových polí
2. Uveďte zoznam podľa názvu značky
3. Všetky jedinečné objekty značiek
Poďme sa podrobnejšie oboznámiť s rôznymi spôsobmi riadeniaa získate rýchly prístup k asociáciám, ktoré sa vytvárajú medzi značkami a pármi pole / hodnota.
jeden. Zoznam podľa dvojice hodnôt polí: To vám pomôže skontrolovať alebo definovať skupinu značiek pre pár poľa / hodnoty. Môžete si pozrieť zoznam takýchto párovaní pre konkrétnu značku.
Pre lepšie pochopenie použite nasledujúci obrázok obrazovky:
2. Zoznam podľa názvu značky: Pomáha vám skontrolovať a upraviť množiny párov pole / hodnota. Zoznam párov polí a hodnôt pre konkrétnu značku nájdete v zobrazení „zoznam podľa názvu značky“ a kliknutím na názov značky. Dostanete sa na stránku podrobností značky.
Príklad: Otvorte stránku podrobností značky 2 zamestnanca.
Pre lepšie pochopenie použite nasledujúci obrázok obrazovky:
3. Všetky jedinečné objekty značiek: Pomáha vám poskytnúť všetky jedinečné názvy značiek a páry polí / hodnôt vo vašom systéme. Môžete vyhľadať konkrétnu značku a rýchlo zobraziť všetky páry pole / hodnota, s ktorými je spojená. Povolenia môžete ľahko zachovať a povoliť alebo zakázať konkrétnu značku.
Pre lepšie pochopenie použite nasledujúci obrázok obrazovky:
casting double na int java
Teraz existujú 2 spôsoby vyhľadávania značiek:
- Ak potrebujeme vyhľadať značku spojenú s hodnotou v ľubovoľnom poli, môžeme použiť:
značka =
Vo vyššie uvedenom príklade by to bolo: tag = employee2 - Ak hľadáme značku spojenú s hodnotou v zadanom poli, môžeme použiť:
značka :: =
Vo vyššie uvedenom príklade by to bolo: tag :: emp_id = employee2
V tomto blogu som vysvetlil tri vedomostné objekty (udalosti Splunk, typ udalosti a značky), ktoré uľahčujú vyhľadávanie. V mojom ďalšom blogu vysvetlím ďalšie vedomostné objekty, ako sú Splunk polia, ako funguje extrakcia poľa a Splunk vyhľadávania. Dúfam, že sa vám páčilo čítanie môjho druhého blogu o znalostných objektoch.
Prajete si naučiť sa Splunk a implementovať ich do svojho podnikania? Vyskúšajte naše Tu prichádza so živým školením pod vedením inštruktora a skúsenosťami s projektmi v reálnom živote.