logo

Objek Pengetahuan Splunk: Acara Splunk, Jenis Acara dan Teg

Utama Data Besar Objek Pengetahuan Splunk: Acara Splunk, Jenis Acara dan Teg



Di blog tutorial Splunk ini, anda akan mempelajari pelbagai objek pengetahuan seperti Splunk Events, Event Type dan Splunk Tags.

Di blog sebelumnya, saya bercakap mengenai 3 objek Pengetahuan: Jadual Waktu Splunk, model Data dan Makluman yang berkaitan dengan pelaporan dan visualisasi data. Sekiranya anda ingin melihat, anda boleh merujuk di sini . Dalam blog ini, saya akan menerangkan Peristiwa Splunk, jenis Acara dan Tanda Splunk.
Objek pengetahuan ini membantu memperkayakan data anda agar lebih mudah dicari dan dilaporkan.

Jadi, mari kita mulakan dengan Acara Splunk.

menetapkan laluan kelas di java

Acara Splunk

Peristiwa merujuk kepada setiap data individu. Data khusus yang telah diteruskan ke Splunk Server disebut sebagai Splunk Events. Data ini dapat dalam format apa pun, misalnya: rentetan, angka atau objek JSON.





Izinkan saya menunjukkan kepada anda bagaimana kejadian di Splunk:

splunk-events-edureka
Seperti yang anda lihat dalam tangkapan skrin di atas, ada bidang lalai (Host, Source, Sourcetype dan Time) yang akan ditambahkan setelah diindeks. Mari kita memahami bidang lalai ini:



  1. Host: Host adalah mesin atau nama alamat IP perkakas dari mana datanya datang. Dalam tangkapan skrin di atas,Mesin Sayaadalah hos.
  2. Sumber: Sumber adalah dari mana data host berasal. Ini adalah nama jalan penuh atau fail atau direktori dalam mesin.
    Sebagai contoh:C: Splunkemp_data.txt
  3. Sourcetype: Sourcetype mengenal pasti format data, sama ada fail log, XML, CSV atau bidang utas. Ia mengandungi struktur data acara.
    Sebagai contoh:pegawai_data
  4. Indeks: Ini adalah nama indeks di mana data mentah diindeks. Sekiranya anda tidak menentukan apa-apa, ia masuk ke indeks lalai.
  5. Waktu: Ia adalah bidang yang memaparkan waktu di mana peristiwa itu dihasilkan. Ia dikodkan dengan setiap acara dan tidak boleh diubah. Anda boleh menamakan semula atau memotongnya untuk jangka masa tertentu untuk mengubah persembahannya.
    Sebagai contoh:3/4/16 7:53:51mewakili cap waktu acara tertentu.

Sekarang, mari kita pelajari bagaimana jenis Acara Splunk membantu anda mengumpulkan acara serupa.

Jenis Acara Splunk

Andaikan anda mempunyai rentetan yang mengandungi nama pekerja danID pekerjakedan anda mahu mencari rentetan menggunakan satu pertanyaan carian daripada mencarinya secara berasingan. Jenis Acara Splunk dapat membantu anda di sini. Mereka mengumpulkan dua acara Splunk yang berasingan ini dan anda boleh menyimpan rentetan ini sebagai jenis acara tunggal (Employee_Detail).

  • Jenis peristiwa Splunk merujuk kepada kumpulan data yang membantu dalam mengkategorikan peristiwa berdasarkan ciri umum.
  • Ini adalah bidang yang ditentukan pengguna yang mengimbas sejumlah besar data dan mengembalikan hasil carian dalam bentuk papan pemuka. Anda juga boleh membuat amaran berdasarkan hasil carian.

Perhatikan bahawa anda tidak boleh menggunakan watak paip atau carian sub semasa menentukan jenis peristiwa. Tetapi, anda boleh mengaitkan satu atau lebih teg dengan jenis acara.Sekarang, mari kita pelajari bagaimana jenis acara Splunk ini dibuat.
Terdapat pelbagai cara untuk membuat jenis acara:



  1. Menggunakan Carian
  2. Menggunakan Utiliti Jenis Acara Binaan
  3. Menggunakan Splunk Web
  4. Fail konfigurasi (eventtypes.conf)

Mari kita pergi ke lebih terperinci untuk memahaminya dengan betul:

satu. Menggunakan Carian: Kita boleh membuat jenis peristiwa dengan menulis pertanyaan carian mudah.
Ikuti langkah-langkah di bawah untuk membuatnya:
> Jalankan carian dengan rentetan carian
Contohnya: index = emp_details emp_id = 3
> Klik Simpan Sebagai dan pilih Jenis Acara.
Anda boleh merujuk tangkapan skrin di bawah untuk mendapatkan pemahaman yang lebih baik:


 2. Menggunakan Utiliti Jenis Acara Binaan: Utiliti Jenis Acara Binaan membolehkan anda membuat jenis peristiwa secara dinamik berdasarkan peristiwa Splunk yang dikembalikan oleh carian. Utiliti ini juga membolehkan anda menetapkan warna tertentu untuk jenis acara.


Anda boleh mendapatkan utiliti ini dalam hasil carian anda. Mari ikuti langkah-langkah berikut: Splunk-event-actions-splunk-events-Edureka
Langkah 1: Buka menu acara lungsur
Langkah 2: Cari anak panah ke bawah di sebelah cap waktu acara
Langkah 3: Klik Bangun jenis acara
Sebaik sahaja anda mengklik ‘Build Event Type’ yang dipaparkan pada tangkapan skrin di atas, ia akan mengembalikan kumpulan acara yang dipilih berdasarkan carian tertentu.

3. Menggunakan Splunk Web: Ini adalah kaedah termudah untuk membuat jenis acara.
Untuk ini, anda boleh mengikuti langkah-langkah berikut:
»Pergi ke Tetapan
»Navigasi ke EvadalahJenis nt
»Klik Baru

Izinkan saya mengambil contoh pekerja yang sama untuk memudahkannya.
Pertanyaan carian akan sama dalam kes ini:
indeks = emp_detail emp_id = 3

kebaikan dan keburukan penggodaman

Rujuk tangkapan skrin di bawah untuk mendapatkan pemahaman yang lebih baik:

Empat. Fail konfigurasi (eventtypes.conf): Anda boleh membuat jenis acara dengan langsung mengedit fail konfigurasi eventtypes.conf di $ SPLUNK_HOME / etc / system / local
Contohnya: 'Kakitangan_Detail'
Rujuk tangkapan skrin di bawah untuk mendapatkan pemahaman yang lebih baik:

Sekarang, anda sudah memahami bagaimana jenis acara dibuat dan ditampilkan. Seterusnya, mari kita pelajari bagaimana tag Splunk dapat digunakan dan bagaimana ia memberikan kejelasan pada data anda.


Tag Berpisah

Anda mesti menyedari maksud teg secara umum. Sebilangan besar daripada kita menggunakan ciri penandaan di Facebook untuk menandai rakan dalam catatan atau foto. Walaupun di Splunk, penandaan berfungsi dengan cara yang serupa. Mari kita fahami ini dengan contoh. Kami mempunyai medan emp_id untuk indeks Splunk. Sekarang, anda ingin memberikan tag (Employee2) untuk emp_id = 2 pasangan bidang / nilai. Kita boleh membuat tag untuk emp_id = 2 yang kini dapat dicari menggunakan Employee2.

  • Tag pemisah digunakan untuk memberikan nama pada bidang tertentu dan kombinasi nilai.
  • Ini adalah kaedah paling mudah untuk mendapatkan hasil berpasangan ketika mencari. Mana-mana jenis acara boleh mempunyai banyak tag untuk mendapatkan hasil yang cepat.
  • Ia membantu mencarikumpulan data acara dengan lebih cekap.
  • Penandaan dilakukan pada pasangan nilai kunci yang membantu mendapatkan maklumat yang berkaitan dengan peristiwa tertentu, sedangkan jenis peristiwa memberikan maklumat semua peristiwa Splunk yang berkaitan dengannya.
  • Anda juga boleh menetapkan beberapa tag pada satu nilai.

Lihat tangkapan skrin di sebelah kanan untuk membuat tag Splunk.

Pergi ke Tetapan -> Teg

Sekarang, anda mungkin telah memahami bagaimana teg dibuat. Mari kita fahami bagaimana tag Splunk diuruskan. Terdapat tiga paparan di Halaman Tag di bawah Tetapan:
1. Senaraikan mengikut pasangan nilai medan
2. Senaraikan mengikut nama tag
3. Semua objek tag unik

Mari kita masuk ke lebih terperinci dan memahami pelbagai cara untuk mengurusdan dapatkan akses pantas ke persatuan yang dibuat antara tag dan pasangan medan / nilai.

satu. Senaraikan mengikut pasangan nilai medan: Ini membantu anda mengkaji atau menentukan sekumpulan tag untuk pasangan medan / nilai. Anda dapat melihat senarai pasangan seperti itu untuk tag tertentu.
Rujuk tangkapan skrin di bawah untuk mendapatkan pemahaman yang lebih baik:


2. Senaraikan mengikut nama tag: Ini membantu anda mengkaji dan mengedit set pasangan medan / nilai. Anda dapat mencari senarai bidang / nilai pasangan untuk tag tertentu dengan pergi ke paparan 'list by tag name' dan kemudian klik pada nama tag. Ini membawa anda ke halaman terperinci tag.
Contoh: Buka halaman perincian tag pekerja 2.
Rujuk tangkapan skrin di bawah untuk mendapatkan pemahaman yang lebih baik:

3. Semua objek teg unik: Ini membantu anda untuk memberikan semua nama tag yang unik dan pasangan bidang / nilai dalam sistem anda. Anda boleh mencari teg tertentu untuk melihat dengan cepat semua medan / pasangan nilai yang berkaitan dengannya. Anda boleh mengekalkan kebenaran dengan mudah, untuk mengaktifkan atau mematikan tag tertentu.

Rujuk tangkapan skrin di bawah untuk mendapatkan pemahaman yang lebih baik:

buat contoh ec2 dari snapshot

Sekarang, ada 2 cara untuk mencari tag:

  • Sekiranya kita perlu mencari tag yang dikaitkan dengan nilai dalam bidang apa pun, kita dapat menggunakan:
    tanda =
    Dalam contoh di atas, adalah: tag = pegawai2
  • Sekiranya kita mencari tag yang dikaitkan dengan nilai dalam bidang yang ditentukan, kita dapat menggunakan:
    tag :: =
    Dalam contoh di atas, ia adalah: tag :: emp_id = karyawan2

Di blog ini, saya telah menerangkan tiga objek pengetahuan (peristiwa Splunk, jenis acara dan tag) yang membantu mempermudah carian anda. Dalam blog saya yang seterusnya, saya akan menerangkan beberapa objek pengetahuan seperti bidang Splunk, bagaimana kerja pengekstrakan lapangan dan pencarian Splunk. Semoga anda seronok membaca blog kedua saya mengenai objek pengetahuan.

Adakah anda ingin belajar Splunk dan menerapkannya dalam perniagaan anda? Lihat kami di sini, disertakan dengan latihan langsung yang dipimpin oleh instruktur dan pengalaman projek kehidupan sebenar.

Data Besar

Kategori

Popular Articles

Bagaimana Melakukan Penggabungan Penggabungan di Java?

Kerjaya Pembangunan Web yang Berjaya Dengan AngularJS: Dapatkan Pekerjaan AngularJS dengan gaji terbaik!

Apa itu Teknologi Blockchain? Bagaimana Blockchain Berfungsi

Belajar Bahasa Pengaturcaraan Kotlin Dari awal

Tutorial AWS S3: Menyelam dalam Perkhidmatan Penyimpanan Mudah Amazon

Bagaimana Melaksanakan Kelas Bersarang di Jawa?

Apakah Antaramuka di Java dan Bagaimana Melaksanakannya?

Panduan Komprehensif Mengenai Pembelajaran Sains Data

Tutorial Java AWT - Penyelesaian Sehenti untuk Pemula

Bagaimana hendak membalikkan nombor di Python?