Αντικείμενα γνώσης Splunk: Splunk Events, Τύποι συμβάντων και ετικέτες

Σε αυτό το ιστολόγιο εκμάθησης Splunk, θα μάθετε τα διαφορετικά αντικείμενα γνώσης όπως Splunk Events, Τύποι συμβάντων και Splunk Tags.

Στο προηγούμενο blog μου, μίλησα για 3 αντικείμενα γνώσης: Splunk Χρονοδιάγραμμα, μοντέλο δεδομένων και ειδοποίηση που σχετίζονται με την αναφορά και την οπτικοποίηση δεδομένων. Σε περίπτωση που θέλετε να ρίξετε μια ματιά, μπορείτε να ανατρέξετε εδώ . Σε αυτό το blog, θα εξηγήσω τις εκδηλώσεις Splunk, τους τύπους συμβάντων και τις ετικέτες Splunk.
Αυτά τα αντικείμενα γνώσης βοηθούν στον εμπλουτισμό των δεδομένων σας, ώστε να διευκολύνεται η αναζήτηση και η αναφορά τους.

Ας ξεκινήσουμε λοιπόν με το Splunk Events.



Splunk Εκδηλώσεις

Ένα συμβάν αναφέρεται σε οποιοδήποτε μεμονωμένο κομμάτι δεδομένων. Τα προσαρμοσμένα δεδομένα που έχουν προωθηθεί στον Splunk Server ονομάζονται Splunk Events. Αυτά τα δεδομένα μπορούν να είναι σε οποιαδήποτε μορφή, για παράδειγμα: μια συμβολοσειρά, έναν αριθμό ή ένα αντικείμενο JSON.



Επιτρέψτε μου να σας δείξω πώς φαίνονται τα γεγονότα στο Splunk:

splunk-events-edureka
Όπως μπορείτε να δείτε στο παραπάνω στιγμιότυπο οθόνης, υπάρχουν προεπιλεγμένα πεδία (Host, Source, Sourcetype και Time) που προστίθενται μετά την ευρετηρίαση. Ας κατανοήσουμε αυτά τα προεπιλεγμένα πεδία:



  1. Host: Host είναι ένα μηχάνημα ή ένα όνομα διεύθυνσης IP συσκευής από το οποίο προέρχονται τα δεδομένα. Στο παραπάνω στιγμιότυπο οθόνης,My-Machineείναι ο οικοδεσπότης.
  2. Πηγή: Η πηγή είναι από πού προέρχονται τα δεδομένα κεντρικού υπολογιστή. Είναι το πλήρες όνομα διαδρομής ή ένα αρχείο ή κατάλογος μέσα σε ένα μηχάνημα.
    Για παράδειγμα:Γ: Splunkemp_data.txt
  3. Sourcetype: Το Sourcetype προσδιορίζει τη μορφή των δεδομένων, είτε πρόκειται για αρχείο καταγραφής, XML, CSV ή για ένα νήμα. Περιέχει τη δομή δεδομένων του συμβάντος.
    Για παράδειγμα:υπάλληλος_δεδομένα
  4. Ευρετήριο: Είναι το όνομα του ευρετηρίου όπου ευρετηριάζονται τα μη επεξεργασμένα δεδομένα. Εάν δεν καθορίσετε τίποτα, μεταβαίνει σε προεπιλεγμένο ευρετήριο.
  5. Ώρα: Είναι ένα πεδίο που εμφανίζει τον χρόνο δημιουργίας του συμβάντος. Είναι κωδικοποιημένο με κάθε συμβάν και δεν μπορεί να αλλάξει. Μπορείτε να το μετονομάσετε ή να το κόψετε για ένα χρονικό διάστημα για να αλλάξετε την παρουσίασή του.
    Για παράδειγμα:3/4/16 7:53:51αντιπροσωπεύει τη χρονική σήμανση ενός συγκεκριμένου συμβάντος.

Τώρα, ας μάθουμε πώς οι τύποι Splunk Event σας βοηθούν να ομαδοποιήσετε παρόμοια συμβάντα.

πώς να ρυθμίσετε το classpath στο java

Τύποι εκδηλώσεων Splunk

Ας υποθέσουμε ότι έχετε μια συμβολοσειρά που περιέχει το όνομα του υπαλλήλου καιΤαυτότητα Υπαλλήλουπρος τοκαι θέλετε να κάνετε αναζήτηση στη συμβολοσειρά χρησιμοποιώντας ένα ερώτημα αναζήτησης αντί να τα αναζητήσετε ξεχωριστά. Οι τύποι εκδηλώσεων Splunk μπορούν να σας βοηθήσουν εδώ. Ομαδοποιούν αυτά τα δύο ξεχωριστά συμβάντα Splunk και μπορείτε να αποθηκεύσετε αυτήν τη συμβολοσειρά ως έναν τύπο συμβάντος (Employee_Detail).

  • Ο τύπος συμβάντος Splunk αναφέρεται σε μια συλλογή δεδομένων που βοηθά στην κατηγοριοποίηση συμβάντων με βάση κοινά χαρακτηριστικά.
  • Είναι ένα πεδίο που καθορίζεται από το χρήστη και σαρώνει τεράστια ποσότητα δεδομένων και επιστρέφει τα αποτελέσματα αναζήτησης με τη μορφή ταμπλό. Μπορείτε επίσης να δημιουργήσετε ειδοποιήσεις με βάση τα αποτελέσματα αναζήτησης.

Λάβετε υπόψη ότι δεν μπορείτε να χρησιμοποιήσετε έναν χαρακτήρα σωλήνα ή μια δευτερεύουσα αναζήτηση κατά τον καθορισμό ενός τύπου συμβάντος. Ωστόσο, μπορείτε να συσχετίσετε μία ή περισσότερες ετικέτες με έναν τύπο συμβάντος.Τώρα, ας μάθουμε πώς δημιουργούνται αυτοί οι τύποι συμβάντων Splunk.
Υπάρχουν πολλοί τρόποι δημιουργίας ενός τύπου συμβάντος:



  1. Χρησιμοποιώντας την Αναζήτηση
  2. Χρήση βοηθητικού προγράμματος τύπου συμβάντος κατασκευής
  3. Χρήση του Splunk Web
  4. Αρχεία διαμόρφωσης (eventtypes.conf)

Ας πάμε σε περισσότερες λεπτομέρειες για να το κατανοήσουμε σωστά:

ένας. Χρήση αναζήτησης: Μπορούμε να δημιουργήσουμε έναν τύπο συμβάντος γράφοντας ένα απλό ερώτημα αναζήτησης.

Ακολουθήστε τα παρακάτω βήματα για να δημιουργήσετε ένα:
> Εκτελέστε μια αναζήτηση με τη συμβολοσειρά αναζήτησης
Για παράδειγμα: index = emp_details emp_id = 3
> Κάντε κλικ στην επιλογή Αποθήκευση ως και επιλέξτε Τύπος συμβάντος.
Μπορείτε να ανατρέξετε στο παρακάτω στιγμιότυπο οθόνης για καλύτερη κατανόηση:


2. Χρήση βοηθητικού προγράμματος τύπου συμβάντος Build: Το βοηθητικό πρόγραμμα Build Event Type σάς δίνει τη δυνατότητα να δημιουργείτε δυναμικά τύπους συμβάντων βάσει των εκδηλώσεων Splunk που επιστρέφονται από αναζητήσεις. Αυτό το βοηθητικό πρόγραμμα σας επιτρέπει επίσης να αντιστοιχίσετε συγκεκριμένα χρώματα σε τύπους συμβάντων.


Μπορείτε να βρείτε αυτό το βοηθητικό πρόγραμμα στα αποτελέσματα αναζήτησης. Ας ακολουθήσουμε τα παρακάτω βήματα:
Splunk-event-actions-splunk-events-Edureka
Βήμα 1: Ανοίξτε το αναπτυσσόμενο μενού συμβάντων

Βήμα 2: Βρείτε το κάτω βέλος δίπλα στη χρονική σήμανση του συμβάντος
Βήμα 3: Κάντε κλικ στην επιλογή Τύπος συμβάντος
Μόλις κάνετε κλικ στο 'Τύπος συμβάντος κατασκευής' που εμφανίζεται στο παραπάνω στιγμιότυπο οθόνης, θα επιστρέψει το επιλεγμένο σύνολο συμβάντων με βάση μια συγκεκριμένη αναζήτηση.

3. Χρήση του Splunk Web: Αυτός είναι ο ευκολότερος τρόπος για να δημιουργήσετε έναν τύπο συμβάντος.
Για αυτό, μπορείτε να ακολουθήσετε αυτά τα βήματα:
»Μεταβείτε στις Ρυθμίσεις
»Πλοηγηθείτε στο Ev
είναιnt Τύποι
»Κάντε κλικ στο Νέο

Επιτρέψτε μου να κάνω το ίδιο παράδειγμα εργαζομένου για να το κάνω εύκολο.
Το ερώτημα αναζήτησης θα ήταν το ίδιο σε αυτήν την περίπτωση:
index = emp_details emp_id = 3

Ανατρέξτε στο παρακάτω στιγμιότυπο οθόνης για καλύτερη κατανόηση:

Τέσσερα. Αρχεία διαμόρφωσης (eventtypes.conf): Μπορείτε να δημιουργήσετε τύπους συμβάντων επεξεργάζοντας απευθείας το αρχείο διαμόρφωσης eventtypes.conf στο $ SPLUNK_HOME / etc / system / local
Για παράδειγμα: 'Employee_Detail'
Ανατρέξτε στο παρακάτω στιγμιότυπο οθόνης για καλύτερη κατανόηση:

Μέχρι τώρα, θα έχετε καταλάβει πώς δημιουργούνται και εμφανίζονται οι τύποι συμβάντων. Στη συνέχεια, ας μάθουμε πώς μπορούν να χρησιμοποιηθούν οι ετικέτες Splunk και πώς παρέχουν σαφήνεια στα δεδομένα σας.


Splunk Ετικέτες

Πρέπει να γνωρίζετε τι σημαίνει μια ετικέτα γενικά. Οι περισσότεροι από εμάς χρησιμοποιούν τη δυνατότητα προσθήκης ετικετών στο Facebook για να επισημάνουν φίλους σε μια ανάρτηση ή μια φωτογραφία. Ακόμα και στο Splunk, η προσθήκη ετικετών λειτουργεί με παρόμοιο τρόπο. Ας το καταλάβουμε με ένα παράδειγμα. Έχουμε ένα πεδίο emp_id για ένα ευρετήριο Splunk. Τώρα, θέλετε να δώσετε μια ετικέτα (Employee2) στο emp_id = 2 ζεύγος πεδίου / τιμής. Μπορούμε να δημιουργήσουμε μια ετικέτα για το emp_id = 2, το οποίο τώρα μπορεί να αναζητηθεί χρησιμοποιώντας το Employee2.

  • Οι ετικέτες Splunk χρησιμοποιούνται για την εκχώρηση ονομάτων σε συγκεκριμένα πεδία και συνδυασμούς τιμών.
  • Είναι η απλούστερη μέθοδος για τη λήψη ζευγών στα αποτελέσματα κατά την αναζήτηση. Οποιοσδήποτε τύπος συμβάντος μπορεί να έχει πολλές ετικέτες για να πάρει γρήγορα αποτελέσματα.
  • Βοηθά στην αναζήτησηομάδες δεδομένων συμβάντων πιο αποτελεσματικά.
  • Η προσθήκη ετικετών γίνεται στο ζεύγος τιμών κλειδιών που βοηθά στη λήψη πληροφοριών σχετικά με ένα συγκεκριμένο συμβάν, ενώ ένας τύπος συμβάντος παρέχει τις πληροφορίες για όλα τα συμβάντα Splunk που σχετίζονται με αυτό.
  • Μπορείτε επίσης να αντιστοιχίσετε πολλές ετικέτες σε μία τιμή.

Κοιτάξτε το στιγμιότυπο οθόνης στη δεξιά πλευρά για να δημιουργήσετε μια ετικέτα Splunk.

Μεταβείτε στις Ρυθμίσεις -> Ετικέτες

Τώρα, ίσως καταλάβατε πώς δημιουργείται μια ετικέτα. Ας καταλάβουμε τώρα πώς διαχειρίζονται οι ετικέτες Splunk. Υπάρχουν τρεις προβολές στη σελίδα ετικετών στις Ρυθμίσεις:
1. Λίστα ανά ζεύγος τιμών πεδίου

2. Λίστα με όνομα ετικέτας
3. Όλα τα μοναδικά αντικείμενα ετικετών

Ας δούμε περισσότερες λεπτομέρειες και να κατανοήσουμε διαφορετικούς τρόπους διαχείρισηςκαι αποκτήστε γρήγορη πρόσβαση σε συσχετισμούς που δημιουργούνται μεταξύ ετικετών και ζευγών πεδίων / τιμών.

ένας. Λίστα ανά ζεύγος τιμών πεδίου: Αυτό σας βοηθά να ελέγξετε ή να ορίσετε ένα σύνολο ετικετών για ένα ζεύγος πεδίων / τιμών. Μπορείτε να δείτε τη λίστα τέτοιων ζευγών για μια συγκεκριμένη ετικέτα.
Ανατρέξτε στο παρακάτω στιγμιότυπο οθόνης για καλύτερη κατανόηση:


2. Λίστα με όνομα ετικέτας: Σας βοηθά να ελέγξετε και να επεξεργαστείτε τα σύνολα ζευγών πεδίων / τιμών. Μπορείτε να βρείτε τη λίστα αντιστοίχισης πεδίου / τιμής για μια συγκεκριμένη ετικέτα μεταβαίνοντας στην προβολή «λίστα με όνομα ετικέτας» και, στη συνέχεια, κάντε κλικ στο όνομα της ετικέτας. Αυτό σας μεταφέρει στη σελίδα λεπτομερειών της ετικέτας.
Παράδειγμα: Ανοίξτε τη σελίδα λεπτομερειών της ετικέτας υπαλλήλου 2.
Ανατρέξτε στο παρακάτω στιγμιότυπο οθόνης για καλύτερη κατανόηση:

3. Όλα τα μοναδικά αντικείμενα ετικετών: Σας βοηθά να παρέχετε όλα τα μοναδικά ονόματα ετικετών και ζευγάρια πεδίων / τιμών στο σύστημά σας. Μπορείτε να αναζητήσετε μια συγκεκριμένη ετικέτα για να δείτε γρήγορα όλα τα ζεύγη πεδίων / τιμών με τα οποία σχετίζεται. Μπορείτε εύκολα να διατηρήσετε τα δικαιώματα, για να ενεργοποιήσετε ή να απενεργοποιήσετε μια συγκεκριμένη ετικέτα.

Ανατρέξτε στο παρακάτω στιγμιότυπο οθόνης για καλύτερη κατανόηση:

Τώρα, υπάρχουν 2 τρόποι αναζήτησης ετικετών:

  • Εάν πρέπει να αναζητήσουμε μια ετικέτα που σχετίζεται με μια τιμή σε οποιοδήποτε πεδίο, μπορούμε να χρησιμοποιήσουμε:
    ετικέτα =
    Στο παραπάνω παράδειγμα, θα ήταν: tag = karyawan2
  • Εάν αναζητούμε μια ετικέτα που σχετίζεται με μια τιμή σε ένα καθορισμένο πεδίο, μπορούμε να χρησιμοποιήσουμε:
    ετικέτα :: =
    Στο παραπάνω παράδειγμα, θα ήταν: tag :: emp_id = karyawan2

Σε αυτό το ιστολόγιο, εξήγησα τρία αντικείμενα γνώσης (εκδηλώσεις Splunk, τύπο συμβάντος και ετικέτες) που διευκολύνουν τις αναζητήσεις σας. Στο επόμενο ιστολόγιό μου, θα εξηγήσω μερικά περισσότερα αντικείμενα γνώσης όπως τα πεδία Splunk, πώς λειτουργεί η εξαγωγή πεδίων και αναζητήσεις Splunk. Ελπίζω να σας άρεσε να διαβάζετε το δεύτερο blog μου για αντικείμενα γνώσης.

Θέλετε να μάθετε το Splunk και να το εφαρμόσετε στην επιχείρησή σας; Ρίξτε μια ματιά στο δικό μας εδώ, έρχεται με ζωντανή εκπαίδευση με καθοδήγηση εκπαιδευτή και πραγματική εμπειρία έργου.

ορισμός __init__