logo

Splunk-vidensobjekter: Splunk-begivenheder, begivenhedstyper og tags

Vigtigste Big Data Splunk-vidensobjekter: Splunk-begivenheder, begivenhedstyper og tags



I denne Splunk tutorial-blog lærer du de forskellige videnobjekter som Splunk Events, Event Typer og Splunk Tags.

I min tidligere blog talte jeg om 3 vidensobjekter: Splunk Timechart, datamodel og alarm der var relateret til rapportering og visualisering af data. Hvis du vil se nærmere, kan du henvise her . I denne blog vil jeg forklare Splunk-begivenheder, begivenhedstyper og splunk-tags.
Disse vidensobjekter hjælper med at berige dine data for at gøre dem lettere at søge og rapportere om.

Så lad os komme i gang med Splunk Events.

Splunk Begivenheder

En begivenhed henviser til ethvert individuelt stykke data. De brugerdefinerede data, der er videresendt til Splunk Server, kaldes Splunk Events. Disse data kan være i ethvert format, for eksempel: en streng, et tal eller et JSON-objekt.





Lad mig vise dig, hvordan begivenheder ser ud i Splunk:

splunk-events-edureka
Som du kan se i ovenstående skærmbillede, er der standardfelter (Host, Source, Sourcetype og Time), som tilføjes efter indeksering. Lad os forstå disse standardfelter:



  1. Vært: Vært er en maskine eller et apparatets IP-adresse navn, hvorfra dataene kommer. I ovenstående skærmbillede,My-Machineer værten.
  2. Kilde: Kilde er hvor værtsdataene kommer fra. Det er det fulde stinavn eller en fil eller bibliotek i en maskine.
    For eksempel:C: Splunkemp_data.txt
  3. Sourcetype: Sourcetype identificerer formatet på dataene, uanset om det er en logfil, XML, CSV eller et trådfelt. Den indeholder datastrukturen for begivenheden.
    For eksempel:medarbejderdata
  4. Indeks: Det er navnet på det indeks, hvor rådata indekseres. Hvis du ikke angiver noget, går det ind i et standardindeks.
  5. Tid: Det er et felt, der viser det tidspunkt, hvor begivenheden blev genereret. Det stregkodes ved hver begivenhed og kan ikke ændres. Du kan omdøbe eller skære den i en periode for at ændre præsentationen.
    For eksempel:3/4/16 7:53:51repræsenterer tidsstemplet for en bestemt begivenhed.

Lad os nu lære, hvordan Splunk-begivenhedstyper hjælper dig med at gruppere lignende begivenheder.

Splunk begivenhedstyper

Antag, at du har en streng, der indeholder medarbejdernavnet ogMedarbejder-IDtilog du vil søge i strengen ved hjælp af en enkelt søgeforespørgsel i stedet for at søge i dem individuelt. Splunk begivenhedstyper kan hjælpe dig her. De grupperer disse to separate Splunk-begivenheder, og du kan gemme denne streng som en enkelt begivenhedstype (Employee_Detail).

sortering af et array c ++
  • Splunk begivenhedstype refererer til en samling af data, der hjælper med at kategorisere begivenheder baseret på fælles egenskaber.
  • Det er et brugerdefineret felt, der scanner gennem enorme mængder data og returnerer søgeresultaterne i form af dashboards. Du kan også oprette alarmer baseret på søgeresultaterne.

Bemærk, at du ikke kan bruge et rørtegn eller en undersøgning, mens du definerer en begivenhedstype. Men du kan knytte et eller flere tags til en begivenhedstype.Lad os nu lære, hvordan disse Splunk-hændelsestyper oprettes.
Der er flere måder at oprette en begivenhedstype på:



  1. Brug af søgning
  2. Brug af Build Event Type Utility
  3. Brug af Splunk Web
  4. Konfigurationsfiler (eventtypes.conf)

Lad os gå mere i detaljer for at forstå det ordentligt:

en. Brug af søgning: Vi kan oprette en begivenhedstype ved at skrive en simpel søgeforespørgsel.
Gå gennem nedenstående trin for at oprette en:
> Kør en søgning med søgestrengen
For eksempel: index = emp_details emp_id = 3
> Klik på Gem som, og vælg Hændelsestype.
Du kan henvise til nedenstående skærmbillede for at få en bedre forståelse:


 2. Brug af Build Event Type Utility: Hjælpeprogrammet Build Event Type giver dig mulighed for dynamisk at oprette begivenhedstyper baseret på Splunk-begivenheder, der returneres ved søgninger. Dette værktøj giver dig også mulighed for at tildele specifikke farver til begivenhedstyper.


Du kan finde dette værktøj i dine søgeresultater. Lad os gennemgå nedenstående trin: Splunk-event-actions-splunk-events-Edureka
Trin1: Åbn rullemenuens begivenhedsmenu
Trin 2: Find pil ned ved siden af ​​begivenhedens tidsstempel
Trin 3: Klik på Byg begivenhedstype
Når du klikker på 'Byg hændelsestype', der vises i ovenstående skærmbillede, returnerer det det valgte sæt hændelser baseret på en bestemt søgning.

3. Brug af Splunk Web: Dette er den nemmeste måde at oprette en begivenhedstype på.
For dette kan du følge disse trin:
»Gå til Indstillinger
»Naviger til Evernt Typer
»Klik på Ny

Lad mig tage det samme medarbejdereksempel for at gøre det let.
Søgeforespørgsel ville være den samme i dette tilfælde:
index = emp_details emp_id = 3

Se nedenstående skærmbillede for at få en bedre forståelse:

Fire. Konfigurationsfiler (eventtypes.conf): Du kan oprette hændelsestyper ved direkte at redigere eventtypes.conf konfigurationsfil i $ SPLUNK_HOME / etc / system / local
For eksempel: “Employee_Detail”
Se nedenstående skærmbillede for at få en bedre forståelse:

Nu ville du have forstået, hvordan begivenhedstyper oprettes og vises. Lad os derefter lære, hvordan Splunk-tags kan bruges, og hvordan de giver klarhed over dine data.


Splunk tags

Du skal være opmærksom på, hvad et mærke generelt betyder. De fleste af os bruger taggingfunktionen på Facebook til at tagge venner i et indlæg eller et foto. Selv i Splunk fungerer tagging på en lignende måde. Lad os forstå dette med et eksempel. Vi har et emp_id-felt til et Splunk-indeks. Nu vil du give et tag (Medarbejder2) til emp_id = 2 felt / værdipar. Vi kan oprette et tag til emp_id = 2, som nu kan søges ved hjælp af Employee2.

  • Splunk-tags bruges til at tildele navne til bestemte felter og værdikombinationer.
  • Det er den enkleste metode til at få resultaterne i par under søgning. Enhver begivenhedstype kan have flere tags for at få hurtige resultater.
  • Det hjælper med at søgegrupper af begivenhedsdata mere effektivt.
  • Mærkning udføres på nøgleværdiparet, som hjælper med at få information relateret til en bestemt begivenhed, mens en begivenhedstype giver information om alle Splunk-begivenheder, der er knyttet til den.
  • Du kan også tildele flere tags til en enkelt værdi.

Se på skærmbilledet på højre side for at oprette et Splunk-tag.

Gå til Indstillinger -> Mærker

Nu har du måske forstået, hvordan et tag oprettes. Lad os nu forstå, hvordan Splunk-tags administreres. Der er tre visninger på taggsiden under Indstillinger:
1. Liste efter feltværdipar
2. Liste efter tagnavn
3. Alle unikke taggenstande

hvordan man bruger vent og underret i java

Lad os komme i flere detaljer og forstå forskellige måder at styre påog få hurtig adgang til tilknytninger, der er lavet mellem tags og felt / værdipar.

en. Liste efter feltværdipar: Dette hjælper dig med at gennemgå eller definere et sæt tags til et felt / værdipar. Du kan se listen over sådanne parringer for et bestemt tag.
Se nedenstående skærmbillede for at få en bedre forståelse:


2. Liste efter tagnavn: Det hjælper dig med at gennemgå og redigere sæt af felt / værdipar. Du kan finde listen over parring af felt / værdi for et bestemt tag ved at gå til 'liste efter tagnavn' og derefter klikke på tagnavnet. Dette fører dig til tagens detaljeringsside.
Eksempel: Åbn detaljesiden for medarbejder 2-tag.
Se nedenstående skærmbillede for at få en bedre forståelse:

3. Alle unikke taggenstande: Det hjælper dig med at angive alle de unikke tagnavne og parring af felt / værdi i dit system. Du kan søge i et bestemt tag for hurtigt at se alle de felt / værdipar, som det er knyttet til. Du kan nemt vedligeholde tilladelserne for at aktivere eller deaktivere et bestemt tag.

Se nedenstående skærmbillede for at få en bedre forståelse:

Nu er der to måder at søge på tags:

  • Hvis vi har brug for at søge i et tag, der er knyttet til en værdi i et hvilket som helst felt, kan vi bruge:
    tag =
    I ovenstående eksempel ville det være: tag = medarbejder2
  • Hvis vi leder efter et tag, der er knyttet til en værdi i et bestemt felt, kan vi bruge:
    tag :: =
    I ovenstående eksempel ville det være: tag :: emp_id = medarbejder2

I denne blog har jeg forklaret tre vidensobjekter (Splunk events, begivenhedstype og tags), der hjælper med at gøre dine søgninger lettere. I min næste blog vil jeg forklare nogle flere videnobjekter som Splunk-felter, hvordan feltudvinding fungerer og Splunk-opslag. Håber du nød at læse min anden blog om vidensobjekter.

Ønsker du at lære Splunk og implementere det i din virksomhed? Tjek vores her, der kommer med instruktørstyret live træning og virkelige projektoplevelser.

Big Data

Kategorier

Popular Articles

Null Pointer Undtagelse i Java: Implementering og eksempler

Hvordan oprettes JFrame i Java?

Hosting af et statisk websted med AWS S3

Din guide til revnedannelse af CFA niveau 1-eksamen

Hvad er IAM (Identity and Access Management) i AWS?

Hvordan læses og parses XML-fil i Java?

Regressionstest Komplet guide: Alt hvad du behøver at vide

#IndiaITRepublic - Top 10 fakta om Accenture - Indien

Sådan implementeres ulige og lige program i C

Lær hvordan du bruger CASE-erklæring i SQL