logo

Oggetti della conoscenza Splunk: eventi Splunk, tipi di eventi e tag

Principale Big Data Oggetti della conoscenza Splunk: eventi Splunk, tipi di eventi e tag



In questo blog tutorial di Splunk imparerai i diversi oggetti della conoscenza come Eventi Splunk, Tipi di eventi e Tag Splunk.

Nel mio blog precedente, ho parlato di 3 oggetti della conoscenza: Timechart di Splunk, modello di dati e avviso correlati alla creazione di rapporti e alla visualizzazione dei dati. Nel caso tu voglia dare un'occhiata, puoi fare riferimento Qui . In questo blog, spiegherò gli eventi Splunk, i tipi di eventi e i tag Splunk.
Questi oggetti della conoscenza aiutano ad arricchire i tuoi dati in modo da renderli più facili da ricercare e da analizzare.

Quindi, iniziamo con Splunk Events.

Eventi Splunk

Un evento si riferisce a qualsiasi singolo dato. I dati personalizzati che sono stati inoltrati al server Splunk sono chiamati Eventi Splunk. Questi dati possono essere in qualsiasi formato, ad esempio: una stringa, un numero o un oggetto JSON.





Lascia che ti mostri come appaiono gli eventi in Splunk:

splunk-events-edureka
Come puoi vedere nello screenshot qui sopra, ci sono campi predefiniti (Host, Source, Sourcetype e Time) che vengono aggiunti dopo l'indicizzazione. Cerchiamo di capire questi campi predefiniti:



  1. Host: l'host è un nome dell'indirizzo IP della macchina o dell'appliance da cui provengono i dati. Nello screenshot qui sopra,La mia macchinaè l'host.
  2. Origine: l'origine è da dove provengono i dati host. È il percorso completo o un file o una directory all'interno di una macchina.
    Per esempio:C: Splunkemp_data.txt
  3. Sourcetype: Sourcetype identifica il formato dei dati, che si tratti di un file di registro, XML, CSV o un campo thread. Contiene la struttura dati dell'evento.
    Per esempio:dati_impiegati
  4. Indice: è il nome dell'indice in cui vengono indicizzati i dati grezzi. Se non specifichi nulla, viene inserito in un indice predefinito.
  5. Ora: è un campo che mostra l'ora in cui è stato generato l'evento. È codificato a barre con ogni evento e non può essere modificato. Puoi rinominarlo o dividerlo per un periodo di tempo per cambiarne la presentazione.
    Per esempio:3/4/16 7:53:51rappresenta il timestamp di un particolare evento.

Ora, vediamo come i tipi di eventi Splunk ti aiutano a raggruppare eventi simili.

Tipi di eventi Splunk

Supponi di avere una stringa contenente il nome del dipendente eID Dipendenteperndo si desidera eseguire la ricerca nella stringa utilizzando una singola query di ricerca anziché cercarli singolarmente. I tipi di eventi Splunk possono aiutarti qui. Raggruppano questi due eventi Splunk separati e puoi salvare questa stringa come un singolo tipo di evento (Employee_Detail).

  • Il tipo di evento Splunk si riferisce a una raccolta di dati che aiuta a classificare gli eventi in base a caratteristiche comuni.
  • È un campo definito dall'utente che esegue la scansione di enormi quantità di dati e restituisce i risultati della ricerca sotto forma di dashboard. Puoi anche creare avvisi in base ai risultati della ricerca.

Tieni presente che non puoi utilizzare un carattere pipe o una ricerca secondaria durante la definizione di un tipo di evento. Tuttavia, puoi associare uno o più tag a un tipo di evento.Ora, impariamo come vengono creati questi tipi di eventi Splunk.
Esistono diversi modi per creare un tipo di evento:



  1. Utilizzo della ricerca
  2. Utilizzo di Build Event Type Utility
  3. Utilizzando Splunk Web
  4. File di configurazione (eventtypes.conf)

Entriamo più nel dettaglio per capirlo correttamente:

uno. Utilizzando la ricerca: Possiamo creare un tipo di evento scrivendo una semplice query di ricerca.
Segui i passaggi seguenti per crearne uno:
> Esegui una ricerca con la stringa di ricerca
Ad esempio: index = emp_details emp_id = 3
> Fare clic su Salva con nome e selezionare Tipo di evento.
Puoi fare riferimento allo screenshot qui sotto per ottenere una migliore comprensione:

c ++ ordina un array


2. Utilizzo di Build Event Type Utility: L'utility Build Event Type consente di creare dinamicamente tipi di eventi in base agli eventi Splunk restituiti dalle ricerche. Questa utility consente inoltre di assegnare colori specifici a tipi di eventi.


Puoi trovare questa utility nei risultati di ricerca. Esaminiamo i passaggi seguenti: Splunk-event-actions-splunk-events-Edureka
Passaggio 1: apri il menu degli eventi a discesa
Passaggio 2: trova la freccia giù accanto al timestamp dell'evento
Passaggio 3: fare clic su Crea tipo di evento
Dopo aver fatto clic su 'Build Event Type' visualizzato nello screenshot sopra, restituirà il set di eventi selezionato in base a una particolare ricerca.

lato mappa join in alveare

3. Utilizzo di Splunk Web: Questo è il modo più semplice per creare un tipo di evento.
Per questo, puoi seguire questi passaggi:
' Vai alle impostazioni
»Vai a EveTipi nt
»Fare clic su Nuovo

Consentitemi di prendere lo stesso esempio dei dipendenti per semplificare le cose.
La query di ricerca sarebbe la stessa in questo caso:
index = emp_details emp_id = 3

Fare riferimento allo screenshot qui sotto per ottenere una migliore comprensione:

Quattro. File di configurazione (eventtypes.conf): È possibile creare tipi di eventi modificando direttamente il file di configurazione eventtypes.conf in $ SPLUNK_HOME / etc / system / local
Ad esempio: 'Employee_Detail'
Fare riferimento allo screenshot qui sotto per ottenere una migliore comprensione:

A questo punto, avresti capito come vengono creati e visualizzati i tipi di eventi. Successivamente, impariamo come possono essere usati i tag Splunk e come apportano chiarezza ai tuoi dati.


Tag Splunk

Devi essere consapevole di cosa significa un tag in generale. La maggior parte di noi utilizza la funzione di tagging in Facebook per taggare gli amici in un post o in una foto. Anche in Splunk, il tagging funziona in modo simile. Capiamo questo con un esempio. Abbiamo un campo emp_id per un indice Splunk. Ora, vuoi fornire un tag (Employee2) a emp_id = 2 coppia campo / valore. Possiamo creare un tag per emp_id = 2 che ora può essere cercato utilizzando Employee2.

  • I tag Splunk vengono utilizzati per assegnare nomi a campi e combinazioni di valori specifici.
  • È il metodo più semplice per ottenere i risultati in coppia durante la ricerca. Qualsiasi tipo di evento può avere più tag per ottenere risultati rapidi.
  • Aiuta a cercaregruppi di dati sugli eventi in modo più efficiente.
  • Il tagging viene eseguito sulla coppia chiave-valore che aiuta a ottenere informazioni relative a un particolare evento, mentre un tipo di evento fornisce le informazioni di tutti gli eventi Splunk ad esso associati.
  • Puoi anche assegnare più tag a un singolo valore.

Guarda lo screenshot sul lato destro per creare un tag Splunk.

Vai a Impostazioni -> Tag

Ora, potresti aver capito come viene creato un tag. Vediamo ora come vengono gestiti i tag Splunk. Ci sono tre visualizzazioni nella Pagina tag in Impostazioni:
1. Elenca per coppia di valori di campo
2. Elenca per nome del tag
3. Tutti gli oggetti tag univoci

Entriamo più nel dettaglio e comprendiamo diversi modi di gestiree accedi rapidamente alle associazioni create tra tag e coppie campo / valore.

uno. Elenca per coppia di valori di campo: Questo ti aiuta a rivedere o definire una serie di tag per una coppia campo / valore. Puoi vedere l'elenco di tali accoppiamenti per un particolare tag.
Fare riferimento allo screenshot qui sotto per ottenere una migliore comprensione:


2. Elenca per nome tag: Ti aiuta a rivedere e modificare gli insiemi di coppie campo / valore. Puoi trovare l'elenco di accoppiamenti campo / valore per un particolare tag andando alla visualizzazione 'elenca per nome tag' e quindi fai clic sul nome del tag. Questo ti porta alla pagina dei dettagli del tag.
Esempio: apri la pagina dei dettagli del tag dipendente 2.
Fare riferimento allo screenshot qui sotto per ottenere una migliore comprensione:

3. Tutti gli oggetti tag univoci: Ti aiuta a fornire tutti i nomi di tag univoci e gli accoppiamenti campo / valore nel tuo sistema. Puoi cercare un particolare tag per vedere rapidamente tutte le coppie campo / valore a cui è associato. Puoi facilmente mantenere le autorizzazioni, per abilitare o disabilitare un particolare tag.

java come uscire da un programma

Fare riferimento allo screenshot qui sotto per ottenere una migliore comprensione:

Ora ci sono 2 modi per cercare i tag:

  • Se dobbiamo cercare un tag associato a un valore in qualsiasi campo, possiamo usare:
    tag =
    Nell'esempio precedente, sarebbe: tag = dipendente2
  • Se stiamo cercando un tag associato a un valore in un campo specificato, possiamo utilizzare:
    tag :: =
    Nell'esempio precedente, sarebbe: tag :: emp_id = dipendente2

In questo blog, ho spiegato tre oggetti conoscenza (eventi Splunk, tipo di evento e tag) che aiutano a rendere più facili le tue ricerche. Nel mio prossimo blog, spiegherò altri oggetti della conoscenza come i campi Splunk, come funziona l'estrazione dei campi e le ricerche Splunk. Spero ti sia piaciuto leggere il mio secondo blog sugli oggetti della conoscenza.

Vuoi imparare Splunk e implementarlo nella tua azienda? Dai un'occhiata al nostro qui, che viene fornito con formazione dal vivo con istruttore e esperienza di progetto nella vita reale.

Big Data

Categorie

Popular Articles

Come imparare Python 3 da zero - Una guida per principianti

Come implementare l'algoritmo Find-S nell'apprendimento automatico?

Cosa sono gli eventi in JavaScript e come vengono gestiti?

Come implementare l'iniezione di dipendenza in AngularJs

Cos'è MS Excel e come usarlo?

Cosa sono gli operatori in Java e nei suoi tipi?

Waterfall vs Agile: cosa è meglio per te e perché?

Come implementare l'ordinamento di selezione in Java?

Tutorial Android per principianti Parte 4: fornitore di contenuti

Machine learning in R per principianti con esempio