Objectes de coneixement Splunk: esdeveniments Splunk, tipus i etiquetes d'esdeveniments

Al meu bloc anterior, parlava de tres objectes de coneixement: Splunk Timechart, model de dades i alerta que estiguessin relacionats amb l'informe i la visualització de dades. En cas que vulgueu fer una ullada, podeu referir-vos aquí . En aquest bloc, explicaré els esdeveniments Splunk, els tipus d’esdeveniments i les etiquetes Splunk.
Aquests objectes de coneixement ajuden a enriquir les vostres dades per facilitar-ne la cerca i els informes.

Comencem, doncs, amb Splunk Events.

Esdeveniments Splunk

Un esdeveniment fa referència a qualsevol dada individual. Les dades personalitzades que s’han reenviat a Splunk Server s’anomenen Esdeveniments Splunk. Aquestes dades poden estar en qualsevol format, per exemple: una cadena, un número o un objecte JSON.

Deixeu-me mostrar-vos l'aspecte dels esdeveniments a Splunk:

Com podeu veure a la captura de pantalla anterior, hi ha camps predeterminats (amfitrió, font, tipus de font i hora) que s’afegeixen després de la indexació. Comprenem aquests camps per defecte:

1. Amfitrió: l'amfitrió és el nom d'una adreça IP de màquina o dispositiu d'on provenen les dades. A la captura de pantalla anterior,La meva màquinaés l'amfitrió.
2. Font: la font és d’on provenen les dades de l’amfitrió. És el camí d'accés complet o un fitxer o directori d'una màquina.
   Per exemple:C: Splunkemp_data.txt
3. Sourcetype: Sourcetype identifica el format de les dades, ja sigui un fitxer de registre, XML, CSV o un camp de fil. Conté l'estructura de dades de l'esdeveniment.
   Per exemple:dades_d'empleat
4. Índex: és el nom de l’índex on s’indexen les dades en brut. Si no especifiqueu res, passarà a un índex predeterminat.
5. Hora: és un camp que mostra l'hora en què es va generar l'esdeveniment. Està codificat amb barres amb tots els esdeveniments i no es pot canviar. Podeu canviar el nom o tallar-lo per un període de temps per canviar-ne la presentació.
   Per exemple:3/4/16 07:53:51representa la marca de temps d'un esdeveniment concret.

Ara, anem a conèixer com els tipus d’esdeveniments Splunk us ajuden a agrupar esdeveniments similars.

Tipus d'esdeveniments Splunk

Suposem que teniu una cadena que conté el nom de l’empleat iidentificació d'empleatai voleu cercar la cadena mitjançant una consulta de cerca única en lloc de cercar-les individualment. Els tipus d’esdeveniments Splunk us poden ajudar aquí. Agrupen aquests dos esdeveniments Splunk separats i podeu desar aquesta cadena com a tipus d'esdeveniment únic (Employee_Detail).

• El tipus d’esdeveniment Splunk fa referència a una col·lecció de dades que ajuda a classificar els esdeveniments en funció de característiques comunes.
• És un camp definit per l'usuari que analitza una gran quantitat de dades i retorna els resultats de la cerca en forma de taulers. També podeu crear alertes en funció dels resultats de la cerca.

Tingueu en compte que no es pot utilitzar un caràcter de canalització ni una sub-cerca mentre es defineix un tipus d'esdeveniment. Però podeu associar una o més etiquetes a un tipus d'esdeveniment.Ara, anem a conèixer com es creen aquests tipus d’esdeveniments Splunk.
Hi ha diverses maneres de crear un tipus d'esdeveniment:

1. Utilitzant la cerca
2. Utilitzant la utilitat Build Event Type
   
3. Utilitzant Splunk Web
   
4. Fitxers de configuració (eventtypes.conf)

Anem a més detalls per entendre-ho correctament:

1. Ús de la cerca: Podem crear un tipus d'esdeveniment escrivint una simple consulta de cerca.
Seguiu els passos següents per crear-ne un:
> Executeu una cerca amb la cadena de cerca
Per exemple: index = emp_details emp_id = 3
> Feu clic a Desa com a i seleccioneu Tipus d'esdeveniment.
Podeu consultar la captura de pantalla següent per obtenir una millor comprensió:

2. Ús de la utilitat de tipus d'esdeveniment de construcció La utilitat Construeix tipus d'esdeveniment us permet crear dinàmicament tipus d'esdeveniments basats en esdeveniments Splunk retornats per les cerques. Aquesta utilitat també us permet assignar colors específics als tipus d'esdeveniments.

Podeu trobar aquesta utilitat als resultats de la cerca. Anem a fer els passos següents:
Pas 1: obriu el menú d'esdeveniments desplegables
Pas 2: cerqueu la fletxa cap avall al costat de la marca de temps de l'esdeveniment
Pas 3: feu clic a Construeix el tipus d'esdeveniment
Un cop feu clic a 'Construeix el tipus d'esdeveniment' que apareix a la captura de pantalla anterior, tornarà el conjunt d'esdeveniments seleccionat en funció d'una cerca concreta.

3. Ús de Splunk Web: Aquesta és la forma més senzilla de crear un tipus d'esdeveniment.
Per a això, podeu seguir aquests passos:
»Aneu a Configuració
»Aneu a EvésTipus de nt
»Feu clic a Nou

Permeteu-me que prengui el mateix exemple d’empleat per facilitar-ho.
La consulta de cerca seria la mateixa en aquest cas:
index = emp_details emp_id = 3

Consulteu la captura de pantalla següent per obtenir una millor comprensió:

com fer un paquet a Java

4. Fitxers de configuració (eventtypes.conf): Podeu crear tipus d'esdeveniments editant directament el fitxer de configuració eventtypes.conf a $ SPLUNK_HOME / etc / system / local
Per exemple: 'Detall_empleat'
Consulteu la captura de pantalla següent per obtenir una millor comprensió:

A hores d'ara ja hauríeu entès com es creen i es mostren els tipus d'esdeveniments. A continuació, expliquem com es poden utilitzar les etiquetes Splunk i com aporten claredat a les vostres dades.

Etiquetes Splunk

Heu de ser conscients del que significa una etiqueta en general. La majoria de nosaltres fem servir la funció d’etiquetatge de Facebook per etiquetar amics en una publicació o una foto. Fins i tot a Splunk, l’etiquetatge funciona d’una manera similar. Anem a entendre-ho amb un exemple. Tenim un camp emp_id per a un índex Splunk. Ara voleu proporcionar una etiqueta (Employee2) al parell camp / valor emp_id = 2. Podem crear una etiqueta per a emp_id = 2 que ara es pot cercar amb Employee2.

• Les etiquetes Splunk s’utilitzen per assignar noms a camps específics i combinacions de valors.
• És el mètode més senzill per obtenir els resultats en parelles mentre es cerca. Qualsevol tipus d'esdeveniment pot tenir diverses etiquetes per obtenir resultats ràpids.
• Ajuda a cercargrups de dades d’esdeveniments de manera més eficient.
• L'etiquetatge es fa al parell de valors clau que ajuda a obtenir informació relacionada amb un esdeveniment concret, mentre que un tipus d'esdeveniment proporciona la informació de tots els esdeveniments Splunk associats.
• També podeu assignar diverses etiquetes a un valor únic.
  

Mireu la captura de pantalla de la part dreta per crear una etiqueta Splunk.

Aneu a Configuració -> Etiquetes

Ara és possible que hàgiu entès com es crea una etiqueta. Ara entenem com es gestionen les etiquetes Splunk. Hi ha tres visualitzacions a la pàgina d'etiquetes a Configuració:
1. Llista per parell de valors de camp
2. Llista per nom d'etiqueta
3. Tots els objectes d'etiqueta únics

Entrem en més detalls i entenem diferents maneres de gestionar-lesi accediu ràpidament a les associacions que es fan entre etiquetes i parells camp / valor.

1. Llista per parell de valors de camp: Això us ajudarà a revisar o definir un conjunt d’etiquetes per a un parell camp / valor. Podeu veure la llista d’aquests emparellaments per a una etiqueta concreta.
Consulteu la captura de pantalla següent per obtenir una millor comprensió:

2. Llista per nom d'etiqueta: Us ajuda a revisar i editar els conjunts de parells camp / valor. Podeu trobar la llista d’aparellaments de camps / valors per a una etiqueta particular anant a la visualització “llista per nom d’etiqueta” i, a continuació, feu clic al nom de l’etiqueta. Això us portarà a la pàgina de detalls de l'etiqueta.
Exemple: obriu la pàgina de detalls de l'etiqueta 2 d'empleat.
Consulteu la captura de pantalla següent per obtenir una millor comprensió:

3. Tots els objectes d'etiqueta únics: Us ajuda a proporcionar tots els noms d’etiquetes exclusius i els parells de camps / valors del vostre sistema. Podeu cercar una etiqueta concreta per veure ràpidament tots els parells de camp / valor als quals està associat. Podeu mantenir fàcilment els permisos per habilitar o desactivar una etiqueta concreta.

Consulteu la captura de pantalla següent per obtenir una millor comprensió:

Ara hi ha dues maneres de cercar etiquetes:

• Si hem de cercar una etiqueta associada a un valor en qualsevol camp, podem utilitzar:
  etiqueta =
  A l'exemple anterior, seria: tag = empleat2
• Si busquem una etiqueta associada a un valor en un camp especificat, podem utilitzar:
  etiqueta :: =
  A l'exemple anterior, seria: tag :: emp_id = empleat2

En aquest bloc he explicat tres objectes de coneixement (esdeveniments Splunk, tipus d’esdeveniment i etiquetes) que us ajudaran a fer les vostres cerques més fàcils. Al meu proper bloc, explicaré alguns objectes de coneixement més com els camps Splunk, com funciona l'extracció de camps i les cerques Splunk. Espero que us hagi agradat llegir el meu segon bloc sobre objectes de coneixement.

Voleu aprendre Splunk i implementar-lo al vostre negoci? Consulteu el nostre aquí, ve amb formació en directe dirigida per un instructor i experiència en projectes reals.