I min forrige blogg snakket jeg om 3 kunnskapsobjekter: Splunk Timechart, datamodell og varsel som var relatert til rapportering og visualisering av data. I tilfelle du vil ta en titt, kan du henvise her . I denne bloggen skal jeg forklare Splunk Events, Event types og Splunk Tags.
Disse kunnskapsobjektene hjelper deg med å berike dataene dine for å gjøre det lettere å søke og rapportere om.
Så la oss komme i gang med Splunk Events.
Splunk-hendelser
En hendelse refererer til alle data. De tilpassede dataene som er videresendt til Splunk Server kalles Splunk Events. Disse dataene kan være i hvilket som helst format, for eksempel: en streng, et tall eller et JSON-objekt.
hvordan du avslutter en metode i java
La meg vise deg hvordan hendelser ser ut i Splunk:
Som du kan se i skjermbildet ovenfor, er det standardfelt (vert, kilde, kilde og tid) som blir lagt til etter indeksering. La oss forstå disse standardfeltene:
- Vert: Vert er en maskin eller et IP-adresse navn fra apparatet der dataene kommer. I skjermbildet ovenfor,My-Machineer verten.
- Kilde: Kilde er hvor vertsdataene kommer fra. Det er hele stienavnet eller en fil eller katalog i en maskin.
For eksempel:C: Splunkemp_data.txt - Sourcetype: Sourcetype identifiserer formatet til dataene, enten det er en loggfil, XML, CSV eller et trådfelt. Den inneholder datastrukturen til hendelsen.
For eksempel:ansatt_data - Indeks: Det er navnet på indeksen der rådataene indekseres. Hvis du ikke spesifiserer noe, går det inn i en standardindeks.
- Tid: Det er et felt som viser tidspunktet da hendelsen ble generert. Den strekkodes med alle hendelser og kan ikke endres. Du kan endre navn på eller skjære det i en periode for å endre presentasjonen.
For eksempel:3/4/16 7:53:51representerer tidsstempelet for en bestemt hendelse.
La oss nå lære hvordan Splunk hendelsestyper hjelper deg med å gruppere lignende hendelser.
Splunk hendelsestyper
Anta at du har en streng som inneholder ansattens navn ogAnsatt IDtilog du vil søke i strengen ved hjelp av et enkelt søk i stedet for å søke dem individuelt. Splunk hendelsestyper kan hjelpe deg her. De grupperer disse to separate Splunk-hendelsene, og du kan lagre denne strengen som en enkelt hendelsestype (Employee_Detail).
- Splunk hendelsestype refererer til en samling data som hjelper til med å kategorisere hendelser basert på vanlige egenskaper.
- Det er et brukerdefinert felt som skanner gjennom enorme mengder data og returnerer søkeresultatene i form av dashbord. Du kan også opprette varsler basert på søkeresultatene.
Vær oppmerksom på at du ikke kan bruke et rørtegn eller et undersøk mens du definerer en hendelsestype. Men du kan knytte en eller flere tagger til en hendelsestype.La oss nå lære hvordan disse Splunk-hendelsestypene blir opprettet.
Det er flere måter å lage en hendelsestype på:
- Bruke Søk
- Bruke Build Event Type Utility
- Bruke Splunk Web
- Konfigurasjonsfiler (eventtypes.conf)
La oss gå mer detaljert for å forstå det riktig:
en. Bruke Søk: Vi kan opprette en hendelsestype ved å skrive et enkelt søk.
Gå gjennom trinnene nedenfor for å lage en:
> Kjør et søk med søkestrengen
For eksempel: indeks = emp_details emp_id = 3
> Klikk Lagre som og velg Hendelsestype.
Du kan se skjermbildet nedenfor for å få en bedre forståelse:
2. Bruke Build Event Type Utility: Med Build Event Type-verktøyet kan du dynamisk lage hendelsestyper basert på Splunk-hendelser som returneres av søk. Dette verktøyet lar deg også tildele spesifikke farger til hendelsestyper.
Du finner dette verktøyet i søkeresultatene. La oss gå gjennom trinnene nedenfor: 
Trinn 1: Åpne rullegardinmenyen
Trinn 2: Finn nedpilen ved siden av tidsstempelet for hendelsen
Trinn 3: Klikk Bygg hendelsestype
Når du klikker på 'Bygg hendelsestype' som vises i skjermbildet ovenfor, returnerer det valgte settet med hendelser basert på et bestemt søk.
3. Bruke Splunk Web: Dette er den enkleste måten å lage en hendelsestype på.
For dette kan du følge disse trinnene:
' Gå til Innstillinger
»Naviger til Evernt Typer
»Klikk på Ny
La meg ta det samme ansatteksemplet for å gjøre det enkelt.
Søket ville være det samme i dette tilfellet:
indeks = emp_details emp_id = 3
Se skjermbildet nedenfor for å få en bedre forståelse:
Fire. Konfigurasjonsfiler (eventtypes.conf): Du kan opprette hendelsestyper ved direkte å redigere konfigurasjonsfilen eventtypes.conf i $ SPLUNK_HOME / etc / system / local
For eksempel: “Employee_Detail”
Se skjermbildet nedenfor for å få en bedre forståelse:
kan du utvide og implementere i java
Nå hadde du forstått hvordan hendelsestyper blir opprettet og vist. La oss deretter lære hvordan Splunk-koder kan brukes og hvordan de gir klarhet i dataene dine.
Splunk-koder
Du må være klar over hva en tag betyr generelt. De fleste av oss bruker merkingsfunksjonen på Facebook for å merke venner i et innlegg eller bilde. Selv i Splunk fungerer tagging på en lignende måte. La oss forstå dette med et eksempel. Vi har et emp_id-felt for en Splunk-indeks. Nå vil du gi en tag (Employee2) til emp_id = 2 felt / verdipar. Vi kan lage en tagg for emp_id = 2 som nå kan søkes ved hjelp av Employee2.
- Splunk-koder brukes til å tilordne navn til spesifikke felt og verdikombinasjoner.
- Det er den enkleste metoden for å få resultatene i par mens du søker. Enhver hendelsestype kan ha flere koder for å få raske resultater.
- Det hjelper å søkegrupper av hendelsesdata mer effektivt.
- Merking gjøres på nøkkelverdiparet som hjelper til med å få informasjon relatert til en bestemt hendelse, mens en hendelsestype gir informasjon om alle Splunk-hendelsene som er knyttet til den.
- Du kan også tilordne flere koder til en enkelt verdi.
Se på skjermbildet på høyre side for å lage en Splunk-tag.
Gå til Innstillinger -> Merker
Nå har du kanskje forstått hvordan en kode blir opprettet. La oss nå forstå hvordan Splunk-koder administreres. Det er tre visninger på taggsiden under Innstillinger:
1. Liste opp etter feltverdipar
2. Liste opp etter taggenavn
3. Alle unike taggobjekter
La oss komme inn på flere detaljer og forstå forskjellige måter å administrere påog få rask tilgang til assosiasjoner som er laget mellom koder og felt / verdipar.
en. Liste etter feltverdipar: Dette hjelper deg med å gjennomgå eller definere et sett med koder for et felt / verdipar. Du kan se listen over slike sammenkoblinger for en bestemt tag.
Se skjermbildet nedenfor for å få en bedre forståelse:
2. Liste etter kodenavn: Det hjelper deg med å gjennomgå og redigere settene med felt / verdipar. Du finner listen over sammenkobling av felt / verdier for en bestemt tag ved å gå til visningen ‘list by tag name’ og deretter klikke på taggenavnet. Dette tar deg til detaljsiden til koden.
Eksempel: Åpne detaljesiden til ansatt 2-taggen.
Se skjermbildet nedenfor for å få en bedre forståelse:
3. Alle unike taggobjekter: Det hjelper deg å oppgi alle de unike kodenavnene og felt- / verdikoblingene i systemet ditt. Du kan søke i en bestemt tag for raskt å se alle felt / verdiparene den er tilknyttet. Du kan enkelt opprettholde tillatelsene for å aktivere eller deaktivere en bestemt tag.
Se skjermbildet nedenfor for å få en bedre forståelse:
Nå er det to måter å søke i tagger på:
- Hvis vi trenger å søke i en kode tilknyttet en verdi i et hvilket som helst felt, kan vi bruke:
tag =
I eksemplet ovenfor vil det være: tag = ansatte2 - Hvis vi leter etter en tag som er knyttet til en verdi i et spesifisert felt, kan vi bruke:
tag :: =
I eksemplet ovenfor vil det være: tag :: emp_id = ansatte2
I denne bloggen har jeg forklart tre kunnskapsobjekter (Splunk events, hendelsestype og tags) som hjelper til med å gjøre søkene dine enklere. I min neste blogg vil jeg forklare noen flere kunnskapsobjekter som Splunk-felt, hvordan feltutvinning fungerer og Splunk-oppslag. Håper du likte å lese den andre bloggen min om kunnskapsobjekter.
delt funksjon i java eksempel
Ønsker du å lære Splunk og implementere det i din virksomhet? Sjekk ut vår her, som kommer med instruktørledet live trening og reell prosjektopplevelse.