בבלוג הקודם דיברתי על 3 אובייקטים של ידע: לוח זמנים של Splunk, מודל נתונים והתראה שהיו קשורים לדיווח והדמיית נתונים. במקרה שתרצה להסתכל, אתה יכול להפנות כאן . בבלוג זה אני הולך להסביר אירועי Splunk, סוגי אירועים ותגי Splunk.
אובייקטי ידע אלה עוזרים להעשיר את הנתונים שלך על מנת להקל עליהם לחפש ולדווח עליהם.
אז בואו נתחיל עם Splunk Events.
אירועי Splunk
אירוע מתייחס לכל נתון בודד. הנתונים המותאמים אישית שהועברו ל- Splunk Server נקראים Splunk Events. נתונים אלה יכולים להיות בכל פורמט, למשל: מחרוזת, מספר או אובייקט JSON.
תן לי להראות לך איך האירועים נראים ב- Splunk:
c ++ למיין מערך
כפי שניתן לראות בצילום המסך שלעיל, ישנם שדות ברירת מחדל (מארח, מקור, סוג מקור וזמן) שמתווספים לאחר האינדקס. הבה נבין את שדות ברירת המחדל הבאים:
- מארח: מארח הוא מכונה או שם כתובת IP של מכשיר שממנו הנתונים מגיעים. בצילום המסך שלמעלה,My-Machineהוא המארח.
- מקור: מקור המקום ממנו מגיעים נתוני המארח. זהו שם הנתיב המלא או קובץ או ספריה בתוך מכונה.
לדוגמה:C: Splunkemp_data.txt - Sourcetype: Sourcetype מזהה את פורמט הנתונים, בין אם זה קובץ יומן רישום, XML, CSV או שדה שרשור. הוא מכיל את מבנה הנתונים של האירוע.
לדוגמה:עובד_נתונים - אינדקס: זהו שם האינדקס בו מאוחסנים הנתונים הגולמיים. אם אינך מציין דבר, הוא נכנס לאינדקס ברירת מחדל.
- זמן: זהו שדה המציג את השעה בה נוצר האירוע. זה ברקוד עם כל אירוע ולא ניתן לשנותו. אתה יכול לשנות את שמו או לפרוס אותו לפרק זמן כדי לשנות את המצגת שלו.
לדוגמה:3/4/16 7:53:51מייצג את חותמת הזמן של אירוע מסוים.
עכשיו, תן לנו ללמוד כיצד סוגי אירועים של Splunk עוזרים לך לקבץ אירועים דומים.
סוגי אירועים מפוצצים
נניח שיש לך מחרוזת המכילה את שם העובד ו-תג עובדלותרצה לחפש במחרוזת באמצעות שאילתת חיפוש בודדת במקום לחפש אותם בנפרד. סוגי אירועי Splunk יכולים לעזור לך כאן. הם מקבצים את שני אירועי ה- Splunk הנפרדים שלך ואתה יכול לשמור מחרוזת זו כסוג אירוע יחיד (Employee_Detail).
- סוג אירועי Splunk מתייחס לאוסף נתונים המסייע בסיווג אירועים על פי מאפיינים משותפים.
- זהו שדה מוגדר על ידי המשתמש אשר סורק דרך כמות עצומה של נתונים ומחזיר את תוצאות החיפוש בצורה של לוחות מחוונים. ניתן גם ליצור התראות על סמך תוצאות החיפוש.
שים לב שאתה לא יכול להשתמש בתו מקטרת או בחיפוש משנה בעת הגדרת סוג אירוע. אבל, אתה יכול לשייך תג אחד או יותר לסוג אירוע.כעת, בואו נלמד כיצד נוצרים סוגי אירועים אלה ב- Splunk.
ישנן מספר דרכים ליצור סוג אירוע:
- שימוש בחיפוש
- שימוש ב- Build Type Event Utility
- שימוש ב- Splunk Web
- קבצי תצורה (eventtypes.conf)
בואו נפרט יותר כדי להבין את זה כמו שצריך:
אחד. שימוש בחיפוש: אנו יכולים ליצור סוג אירוע על ידי כתיבת שאילתת חיפוש פשוטה.
עבור לשלבים הבאים כדי ליצור אחד מהם:
> הפעל חיפוש באמצעות מחרוזת החיפוש
לדוגמא: אינדקס = emp_details emp_id = 3
> לחץ על שמור בשם ובחר סוג אירוע.
אתה יכול להתייחס לצילום המסך שלמטה כדי להבין טוב יותר:
2. שימוש בתכנית מסוג אירועי Build: כלי השירות לבנות סוג אירוע מאפשר לך ליצור באופן דינמי סוגי אירועים על בסיס אירועי Splunk שהוחזרו על ידי חיפושים. כלי עזר זה מאפשר לך גם להקצות צבעים ספציפיים לסוגי אירועים.
אתה יכול למצוא כלי שירות זה בתוצאות החיפוש שלך. בואו נעבור את השלבים הבאים: 
שלב 1: פתח את תפריט האירועים הנפתח
שלב 2: מצא את החץ למטה לצד חותמת הזמן של האירוע
שלב 3: לחץ על בניין סוג אירוע
לאחר שתלחץ על 'בניין סוג אירוע' המוצג בצילום המסך שלמעלה, הוא יחזיר את קבוצת האירועים שנבחרה על סמך חיפוש מסוים.
3. שימוש ב- Splunk Web: זו הדרך הקלה ביותר ליצור סוג אירוע.
לשם כך, תוכל לבצע את השלבים הבאים:
' לך להגדרות
»נווט אל Evהואnt סוגים
»לחץ על חדש
תן לי לקחת את אותה דוגמה לעובד כדי להקל.
שאילתת חיפוש תהיה זהה במקרה זה:
אינדקס = emp_details emp_id = 3
עיין בצילום המסך שלמטה כדי להבין טוב יותר:
ארבע. קבצי תצורה (eventtypes.conf): באפשרותך ליצור סוגי אירועים על ידי עריכה ישירה של קובץ התצורה של eventtypes.conf ב- $ SPLUNK_HOME / etc / system / local
לדוגמא: 'עובד_דיטייל'
עיין בצילום המסך שלמטה כדי להבין טוב יותר:
עד עכשיו היית מבין כיצד יוצרים ומוצגים סוגי אירועים. לאחר מכן, הבה נלמד כיצד ניתן להשתמש בתגי Splunk וכיצד הם מביאים בהירות לנתונים שלך.
תגיות Splunk
עליכם להיות מודעים למה משמעות תגית באופן כללי. רובנו משתמשים בתכונת התיוג בפייסבוק כדי לתייג חברים בפוסט או בתמונה. אפילו ב- Splunk התיוג עובד בצורה דומה. בואו נבין זאת בדוגמא. יש לנו שדה emp_id לאינדקס Splunk. כעת, ברצונך לספק תג (עובד 2) ל- emp_id = 2 שדה / ערך זוג. אנו יכולים ליצור תג עבור emp_id = 2, שניתן לחפש בו כעת באמצעות Employee2.
- תגי Splunk משמשים להקצאת שמות לשדות ספציפיים ולשילובי ערכים.
- זו השיטה הפשוטה ביותר להשיג את התוצאות בזוג בזמן החיפוש. כל סוג אירוע יכול להכיל מספר תגים כדי להשיג תוצאות מהירות.
- זה עוזר לחיפושקבוצות של נתוני אירועים בצורה יעילה יותר.
- התיוג נעשה על צמד ערכי המפתח שעוזר לקבל מידע הקשור לאירוע מסוים, ואילו סוג אירוע מספק את המידע על כל אירועי ה- Splunk המשויכים אליו.
- ניתן גם להקצות מספר תגים לערך יחיד.
עיין בצילום המסך בצד ימין כדי ליצור תג Splunk.
עבור אל הגדרות -> תגים
כעת, אולי הייתם מבינים כיצד נוצר תג. בואו נבין כעת כיצד מנוהלים תגי Splunk. יש שלוש תצוגות בדף התגים תחת הגדרות:
1. רשימה לפי צמד ערכי שדה
2. רשום לפי שם תג
3. כל חפצי התג הייחודיים
הבה ניכנס לפרטים נוספים ונבין דרכים שונות לניהולוקבל גישה מהירה לאסוציאציות שנוצרות בין תגים לזוגות שדה / ערך.
אחד. רשימה לפי צמד ערכי שדה: זה עוזר לך לבדוק או להגדיר קבוצה של תגים עבור זוג שדות / ערכים. אתה יכול לראות את רשימת ההתאמות כאלה לתג מסוים.
עיין בצילום המסך שלמטה כדי להבין טוב יותר:
2. רשימה לפי שם תג: זה עוזר לך לבדוק ולערוך את קבוצות זוגות השדה / ערך. תוכל למצוא את רשימת ההתאמה בין שדות / ערכים לתג מסוים על ידי מעבר לתצוגת 'רשימה לפי שם תג' ואז לחץ על שם התג. זה לוקח אותך לדף הפרטים של התג.
דוגמה: פתח את דף הפרטים של תג 2 לעובד.
עיין בצילום המסך שלמטה כדי להבין טוב יותר:
3. כל חפצי התג הייחודיים: זה עוזר לך לספק את כל שמות התגים הייחודיים וזיווגי השדות / הערכים במערכת שלך. אתה יכול לחפש בתג מסוים כדי לראות במהירות את כל זוגות השדות / הערכים שאליהם הוא משויך. אתה יכול לשמור על ההרשאות בקלות, כדי להפעיל או להשבית תג מסוים.
עיין בצילום המסך שלמטה כדי להבין טוב יותר:
כעת ישנן שתי דרכים לחיפוש תגים:
- אם עלינו לחפש תג המשויך לערך בשדה כלשהו, נוכל להשתמש ב:
תג =
בדוגמה שלעיל זה יהיה: תג = עובד 2 - אם אנו מחפשים תג המשויך לערך בשדה מוגדר, נוכל להשתמש ב:
תג :: =
בדוגמה שלעיל זה יהיה: תג :: emp_id = עובד 2
בבלוג זה הסברתי על שלושה מושאי ידע (אירועי Splunk, סוג אירוע ותגים) המסייעים להקל על החיפושים שלך. בבלוג הבא שלי אסביר עוד כמה אובייקטים של ידע כמו שדות Splunk, כיצד פועל מיצוי שדות וחיפושים ב- Splunk. מקווה שנהניתם לקרוא את הבלוג השני שלי על חפצי ידע.
האם ברצונך ללמוד Splunk וליישם אותו בעסק שלך? בדוק את שלנו כאן, זה מגיע עם הדרכה חיה בהנחיית מדריכים וניסיון פרויקט אמיתי.