Trong blog trước đây của tôi, tôi đã nói về 3 đối tượng Tri thức: Biểu đồ thời gian Splunk, Mô hình dữ liệu và Cảnh báo liên quan đến báo cáo và hiển thị dữ liệu. Trong trường hợp muốn xem qua, bạn có thể tham khảo đây . Trong blog này, tôi sẽ giải thích Sự kiện Splunk, Các loại sự kiện và Thẻ Splunk.
Các đối tượng kiến thức này giúp làm phong phú thêm dữ liệu của bạn để giúp bạn tìm kiếm và báo cáo dễ dàng hơn.
Vì vậy, hãy bắt đầu với Sự kiện Splunk.
Sự kiện Splunk
Một sự kiện đề cập đến bất kỳ phần dữ liệu riêng lẻ nào. Dữ liệu tùy chỉnh đã được chuyển tiếp đến Máy chủ Splunk được gọi là Sự kiện Splunk. Dữ liệu này có thể ở bất kỳ định dạng nào, ví dụ: chuỗi, số hoặc đối tượng JSON.
Hãy để tôi cho bạn thấy các sự kiện trông như thế nào trong Splunk:
Như bạn có thể thấy trong ảnh chụp màn hình ở trên, có các trường mặc định (Máy chủ, Nguồn, Kiểu nguồn và Thời gian) được thêm vào sau khi lập chỉ mục. Hãy cho chúng tôi hiểu các trường mặc định sau:
- Máy chủ lưu trữ: Máy chủ lưu trữ là một máy hoặc tên địa chỉ IP của thiết bị mà từ đó dữ liệu đến. Trong ảnh chụp màn hình ở trên,My-Machinelà người dẫn chương trình.
- Nguồn: Nguồn là nơi bắt nguồn của dữ liệu máy chủ. Đây là tên đường dẫn đầy đủ hoặc một tệp hoặc thư mục trong máy.
Ví dụ:C: Splunkemp_data.txt - Kiểu nguồn: Kiểu nguồn xác định định dạng của dữ liệu, cho dù đó là tệp nhật ký, XML, CSV hay trường luồng. Nó chứa cấu trúc dữ liệu của sự kiện.
Ví dụ:data_data - Chỉ mục: Là tên của chỉ mục nơi dữ liệu thô được lập chỉ mục. Nếu bạn không chỉ định bất kỳ điều gì, nó sẽ trở thành một chỉ mục mặc định.
- Thời gian: Đây là trường hiển thị thời gian mà sự kiện được tạo. Nó được gắn mã vạch với mọi sự kiện và không thể thay đổi. Bạn có thể đổi tên hoặc cắt nó trong một khoảng thời gian để thay đổi cách trình bày của nó.
Ví dụ:3/4/16 7:53:51đại diện cho dấu thời gian của một sự kiện cụ thể.
Bây giờ, hãy cùng chúng tôi tìm hiểu cách các loại Sự kiện Splunk giúp bạn nhóm các sự kiện tương tự.
Các loại sự kiện Splunk
Giả sử bạn có một chuỗi chứa tên nhân viên vàMã hiệu công nhânđếnvà bạn muốn tìm kiếm chuỗi bằng một truy vấn tìm kiếm duy nhất thay vì tìm kiếm chúng riêng lẻ. Các loại Sự kiện Splunk có thể giúp bạn ở đây. Họ nhóm hai sự kiện Splunk riêng biệt này và bạn có thể lưu chuỗi này thành một loại sự kiện duy nhất (Employee_Detail).
- Loại sự kiện Splunk đề cập đến một tập hợp dữ liệu giúp phân loại các sự kiện dựa trên các đặc điểm chung.
- Nó là một trường do người dùng xác định, quét qua một lượng lớn dữ liệu và trả về kết quả tìm kiếm dưới dạng trang tổng quan. Bạn cũng có thể tạo cảnh báo dựa trên kết quả tìm kiếm.
Lưu ý rằng bạn không thể sử dụng ký tự ống dẫn hoặc tìm kiếm phụ trong khi xác định loại sự kiện. Tuy nhiên, bạn có thể liên kết một hoặc nhiều thẻ với một loại sự kiện.Bây giờ, chúng ta hãy tìm hiểu cách tạo các loại sự kiện Splunk này.
Có nhiều cách để tạo một loại sự kiện:
- Sử dụng Tìm kiếm
- Sử dụng Tiện ích loại sự kiện xây dựng
- Sử dụng Splunk Web
- Tệp cấu hình (eventtypes.conf)
Hãy để chúng tôi đi vào chi tiết hơn để hiểu đúng về nó:
một. Sử dụng Tìm kiếm: Chúng ta có thể tạo một loại sự kiện bằng cách viết một truy vấn tìm kiếm đơn giản.
Thực hiện các bước dưới đây để tạo một tài khoản:
> Chạy tìm kiếm với chuỗi tìm kiếm
Ví dụ: index = emp_details emp_id = 3
> Nhấp vào Lưu dưới dạng và chọn Loại sự kiện.
Bạn có thể tham khảo ảnh chụp màn hình bên dưới để hiểu rõ hơn:
2. Sử dụng Tiện ích loại sự kiện xây dựng: Tiện ích Build Event Type cho phép bạn tạo động các loại sự kiện dựa trên các sự kiện Splunk được trả về bởi các tìm kiếm. Tiện ích này cũng cho phép bạn gán màu cụ thể cho các loại sự kiện.
Bạn có thể tìm thấy tiện ích này trong kết quả tìm kiếm của mình. Hãy thực hiện các bước dưới đây: 
Bước 1: Mở menu sự kiện thả xuống
Bước 2: Tìm mũi tên xuống bên cạnh dấu thời gian của sự kiện
Bước 3: Nhấp vào Xây dựng loại sự kiện
Khi bạn nhấp vào ‘Loại sự kiện xây dựng’ được hiển thị trong ảnh chụp màn hình ở trên, nó sẽ trả về tập hợp sự kiện đã chọn dựa trên một tìm kiếm cụ thể.
sự khác biệt giữa lớp và giao diện trong java
3. Sử dụng Splunk Web: Đây là cách dễ nhất để tạo một loại sự kiện.
Đối với điều này, bạn có thể làm theo các bước sau:
»Đi tới Cài đặt
»Điều hướng đến EvLànt Loại
»Nhấp vào Mới
Hãy để tôi lấy cùng một ví dụ về nhân viên để làm cho nó dễ dàng.
Truy vấn tìm kiếm sẽ giống trong trường hợp này:
index = emp_details emp_id = 3
Tham khảo ảnh chụp màn hình bên dưới để hiểu rõ hơn:
Bốn. Tệp cấu hình (eventtypes.conf): Bạn có thể tạo các loại sự kiện bằng cách chỉnh sửa trực tiếp tệp cấu hình eventtypes.conf trong $ SPLUNK_HOME / etc / system / local
Ví dụ: “Employee_Detail”
Tham khảo ảnh chụp màn hình bên dưới để hiểu rõ hơn:
Bây giờ, bạn đã hiểu cách các loại sự kiện được tạo và hiển thị. Tiếp theo, hãy để chúng tôi tìm hiểu cách sử dụng thẻ Splunk và cách chúng mang lại sự rõ ràng cho dữ liệu của bạn.
Thẻ Splunk
Nói chung, bạn phải biết ý nghĩa của thẻ. Hầu hết chúng ta sử dụng tính năng gắn thẻ trong Facebook để gắn thẻ bạn bè trong một bài đăng hoặc ảnh. Ngay cả trong Splunk, việc gắn thẻ cũng hoạt động theo cách tương tự. Hãy hiểu điều này bằng một ví dụ. Chúng tôi có một trường emp_id cho chỉ mục Splunk. Bây giờ, bạn muốn cung cấp thẻ (Employee2) cho cặp trường / giá trị emp_id = 2. Chúng ta có thể tạo một thẻ cho emp_id = 2, thẻ này hiện có thể được tìm kiếm bằng cách sử dụng Employee2.
- Thẻ rác được sử dụng để gán tên cho các trường cụ thể và kết hợp giá trị.
- Đây là phương pháp đơn giản nhất để lấy kết quả theo cặp trong khi tìm kiếm. Bất kỳ loại sự kiện nào cũng có thể có nhiều thẻ để nhận được kết quả nhanh chóng.
- Nó giúp tìm kiếmnhóm dữ liệu sự kiện hiệu quả hơn.
- Việc gắn thẻ được thực hiện trên cặp giá trị khóa giúp lấy thông tin liên quan đến một sự kiện cụ thể, trong khi một loại sự kiện cung cấp thông tin của tất cả các sự kiện Splunk được liên kết với nó.
- Bạn cũng có thể gán nhiều thẻ cho một giá trị.
Nhìn vào ảnh chụp màn hình ở bên phải để tạo thẻ Splunk.
Đi tới Cài đặt -> Thẻ
Bây giờ, bạn có thể đã hiểu cách tạo thẻ. Bây giờ chúng ta hãy hiểu cách quản lý các thẻ Splunk. Có ba chế độ xem trong Trang thẻ trong Cài đặt:
1. Liệt kê theo cặp giá trị trường
2. Liệt kê theo tên thẻ
3. Tất cả các đối tượng thẻ duy nhất
Hãy để chúng tôi tìm hiểu thêm chi tiết và hiểu các cách khác nhau để quản lývà truy cập nhanh vào các liên kết được tạo giữa các thẻ và các cặp trường / giá trị.
một. Liệt kê theo cặp giá trị trường: Điều này giúp bạn xem lại hoặc xác định một bộ thẻ cho một cặp trường / giá trị. Bạn có thể xem danh sách các cặp như vậy cho một thẻ cụ thể.
Tham khảo ảnh chụp màn hình bên dưới để hiểu rõ hơn:
2. Liệt kê theo tên thẻ: Nó giúp bạn xem lại và chỉnh sửa các bộ cặp trường / giá trị. Bạn có thể tìm thấy danh sách ghép nối trường / giá trị cho một thẻ cụ thể bằng cách chuyển đến chế độ xem 'danh sách theo tên thẻ' và sau đó nhấp vào tên thẻ. Điều này sẽ đưa bạn đến trang chi tiết của thẻ.
Ví dụ: Mở trang chi tiết của thẻ nhân viên 2.
Tham khảo ảnh chụp màn hình bên dưới để hiểu rõ hơn:
3. Tất cả các đối tượng thẻ duy nhất: Nó giúp bạn cung cấp tất cả các tên thẻ và cặp trường / giá trị duy nhất trong hệ thống của bạn. Bạn có thể tìm kiếm một thẻ cụ thể để xem nhanh tất cả các cặp trường / giá trị được liên kết với nó. Bạn có thể dễ dàng duy trì các quyền để bật hoặc tắt một thẻ cụ thể.
Tham khảo ảnh chụp màn hình bên dưới để hiểu rõ hơn:
Bây giờ, có 2 cách để tìm kiếm thẻ:
- Nếu chúng ta cần tìm kiếm một thẻ được liên kết với một giá trị trong bất kỳ trường nào, chúng ta có thể sử dụng:
tag =
Trong ví dụ trên, nó sẽ là: tag = worker2 - Nếu chúng tôi đang tìm kiếm một thẻ được liên kết với một giá trị trong một trường được chỉ định, chúng tôi có thể sử dụng:
thẻ :: =
Trong ví dụ trên, nó sẽ là: tag :: emp_id = worker2
Trong blog này, tôi đã giải thích ba đối tượng tri thức (sự kiện Splunk, loại sự kiện và thẻ) giúp tìm kiếm của bạn dễ dàng hơn. Trong blog tiếp theo của tôi, tôi sẽ giải thích thêm một số đối tượng kiến thức như trường Splunk, cách khai thác trường hoạt động và tra cứu Splunk. Hy vọng bạn thích đọc blog thứ hai của tôi về các đối tượng tri thức.
Bạn có muốn học Splunk và triển khai nó trong công việc kinh doanh của mình không? Kiểm tra của chúng tôi ở đây, đi kèm với đào tạo trực tiếp do người hướng dẫn và trải nghiệm dự án thực tế.