logo

Objetos de conhecimento do Splunk: eventos, tipos de eventos e tags Splunk

Principal Big Data Objetos de conhecimento do Splunk: eventos, tipos de eventos e tags Splunk



Neste blog tutorial do Splunk, você aprenderá os diferentes objetos de conhecimento, como eventos Splunk, tipos de eventos e tags Splunk.

Em meu blog anterior, falei sobre 3 objetos de conhecimento: Splunk Timechart, modelo de dados e alerta que estavam relacionados a relatórios e visualização de dados. Caso queira dar uma olhada, você pode se referir Aqui . Neste blog, irei explicar eventos Splunk, tipos de eventos e tags Splunk.
Esses objetos de conhecimento ajudam a enriquecer seus dados para torná-los mais fáceis de pesquisar e relatar.

Então, vamos começar com os eventos do Splunk.

Eventos Splunk

Um evento se refere a qualquer dado individual. Os dados personalizados que foram encaminhados ao servidor Splunk são chamados de eventos Splunk. Esses dados podem estar em qualquer formato, por exemplo: uma string, um número ou um objeto JSON.





Deixe-me mostrar como os eventos aparecem no Splunk:

splunk-events-edureka
Como você pode ver na imagem acima, existem campos padrão (Host, Fonte, Tipo de fonte e Hora) que são adicionados após a indexação. Vamos entender esses campos padrão:



  1. Host: Host é uma máquina ou um nome de endereço IP de dispositivo de onde vêm os dados. Na imagem acima,My-Machineé o anfitrião.
  2. Fonte: fonte é de onde vêm os dados do host. É o nome do caminho completo ou um arquivo ou diretório dentro de uma máquina.
    Por exemplo:C: Splunkemp_data.txt
  3. Sourcetype: Sourcetype identifica o formato dos dados, se é um arquivo de log, XML, CSV ou um campo de thread. Ele contém a estrutura de dados do evento.
    Por exemplo:funcionário_dados
  4. Índice: É o nome do índice onde os dados brutos são indexados. Se você não especificar nada, ele entrará em um índice padrão.
  5. Horário: campo que mostra o horário em que o evento foi gerado. É um código de barras com cada evento e não pode ser alterado. Você pode renomeá-lo ou dividi-lo por um período de tempo para alterar sua apresentação.
    Por exemplo:04/03/16 7:53:51representa o carimbo de data / hora de um determinado evento.

Agora, vamos aprender como os tipos de eventos Splunk ajudam você a agrupar eventos semelhantes.

como usar anaconda python

Tipos de eventos Splunk

Suponha que você tenha uma string contendo o nome do funcionário eID do Empregadoparand você deseja pesquisar a string usando uma única consulta de pesquisa em vez de pesquisá-los individualmente. Os tipos de eventos Splunk podem ajudá-lo aqui. Eles agrupam esses dois eventos Splunk separados e você pode salvar essa string como um único tipo de evento (Employee_Detail).

  • O tipo de evento Splunk se refere a uma coleção de dados que ajuda na categorização de eventos com base em características comuns.
  • É um campo definido pelo usuário que varre uma grande quantidade de dados e retorna os resultados da pesquisa na forma de painéis. Você também pode criar alertas com base nos resultados da pesquisa.

Observe que você não pode usar uma barra vertical ou uma subprocura ao definir um tipo de evento. Porém, você pode associar uma ou mais tags a um tipo de evento.Agora, vamos aprender como esses tipos de eventos Splunk são criados.
Existem várias maneiras de criar um tipo de evento:



  1. Usando Pesquisa
  2. Usando o utilitário Build Event Type
  3. Usando o Splunk Web
  4. Arquivos de configuração (eventtypes.conf)

Vamos entrar em mais detalhes para entendê-lo corretamente:

1. Usando a Pesquisa: Podemos criar um tipo de evento escrevendo uma consulta de pesquisa simples.
Siga as etapas abaixo para criar um:
> Faça uma pesquisa com a string de pesquisa
Por exemplo: index = emp_details emp_id = 3
> Clique em Salvar como e selecione Tipo de evento.
Você pode consultar a captura de tela abaixo para obter uma melhor compreensão:


 2 Usando o utilitário Build Event Type: O utilitário Build Event Type permite que você crie dinamicamente tipos de eventos com base nos eventos Splunk retornados pelas pesquisas. Este utilitário também permite atribuir cores específicas a tipos de eventos.


Você pode encontrar esse utilitário nos resultados da pesquisa. Vamos seguir as etapas abaixo: Splunk-event-actions-splunk-events-Edureka
Passo 1: Abra o menu suspenso de eventos
Passo 2: Encontre a seta para baixo ao lado do carimbo de data / hora do evento
Passo 3: Clique em Build event type
Depois de clicar em ‘Build Event Type’ exibido na captura de tela acima, ele retornará o conjunto selecionado de eventos com base em uma pesquisa específica.

3 - Usando o Splunk Web: Esta é a maneira mais fácil de criar um tipo de evento.
Para isso, você pode seguir estas etapas:
' Vá para as configurações
»Navegue para Evént tipos
»Clique em Novo

Deixe-me usar o mesmo exemplo de funcionário para facilitar.
A consulta de pesquisa seria a mesma neste caso:
index = emp_details emp_id = 3

Consulte a captura de tela abaixo para entender melhor:

Quatro. Arquivos de configuração (eventtypes.conf): Você pode criar tipos de eventos editando diretamente o arquivo de configuração eventtypes.conf em $ SPLUNK_HOME / etc / system / local
Por exemplo: “Employee_Detail”
Consulte a captura de tela abaixo para entender melhor:

Agora, você deve ter entendido como os tipos de eventos são criados e exibidos. A seguir, vamos aprender como as tags Splunk podem ser usadas e como elas trazem clareza aos seus dados.


Tags Splunk

Você deve estar ciente do que uma tag significa em geral. A maioria de nós usa o recurso de marcação do Facebook para marcar amigos em uma postagem ou foto. Mesmo no Splunk, a marcação funciona de maneira semelhante. Vamos entender isso com um exemplo. Temos um campo emp_id para um índice Splunk. Agora, você deseja fornecer uma tag (Employee2) para emp_id = 2 par de campo / valor. Podemos criar uma tag para emp_id = 2 que agora pode ser pesquisada usando Employee2.

  • As tags Splunk são usadas para atribuir nomes a campos específicos e combinações de valores.
  • É o método mais simples de obter os resultados em pares durante a pesquisa. Qualquer tipo de evento pode ter várias tags para obter resultados rápidos.
  • Ajuda a pesquisargrupos de dados de eventos com mais eficiência.
  • A marcação é feita no par de valores-chave, o que ajuda a obter informações relacionadas a um determinado evento, enquanto um tipo de evento fornece as informações de todos os eventos Splunk associados a ele.
  • Você também pode atribuir várias tags a um único valor.

Olhe a captura de tela do lado direito para criar uma tag Splunk.

Vá para Configurações -> Tags

vantagens da sobrecarga de método em java

Agora, você deve ter entendido como uma tag é criada. Vamos agora entender como as tags Splunk são gerenciadas. Existem três visualizações na página da tag em Configurações:
1. Lista por par de valores de campo
2. Lista por nome de tag
3. Todos os objetos de tag exclusivos

Vamos entrar em mais detalhes e entender as diferentes maneiras de gerenciare obtenha acesso rápido às associações feitas entre tags e pares de campo / valor.

1. Listar por par de valores de campo: Isso ajuda a revisar ou definir um conjunto de tags para um par de campo / valor. Você pode ver a lista desses pares para uma tag específica.
Consulte a captura de tela abaixo para entender melhor:


2 Listar por nome de tag: Isso ajuda você a revisar e editar os conjuntos de pares de campo / valor. Você pode encontrar a lista de emparelhamento de campo / valor para uma tag específica acessando a visualização 'listar por nome de tag' e clicar no nome da tag. Isso leva você à página de detalhes da tag.
Exemplo: Abra a página de detalhes da tag do funcionário 2.
Consulte a captura de tela abaixo para entender melhor:

como reverter uma string em python

3 - Todos os objetos de tag exclusivos: Isso ajuda a fornecer todos os nomes de tag exclusivos e pares de campo / valor em seu sistema. Você pode pesquisar uma tag específica para ver rapidamente todos os pares de campo / valor aos quais está associada. Você pode facilmente manter as permissões para habilitar ou desabilitar uma tag específica.

Consulte a captura de tela abaixo para entender melhor:

Agora, existem 2 maneiras de pesquisar tags:

  • Se precisarmos pesquisar uma tag associada a um valor em qualquer campo, podemos usar:
    tag =
    No exemplo acima, seria: tag = employee2
  • Se estivermos procurando por uma tag associada a um valor em um campo especificado, podemos usar:
    tag :: =
    No exemplo acima, seria: tag :: emp_id = employee2

Neste blog, expliquei três objetos de conhecimento (eventos Splunk, tipo de evento e tags) que ajudam a tornar suas pesquisas mais fáceis. No meu próximo blog, explicarei mais alguns objetos de conhecimento, como campos do Splunk, como funciona a extração de campo e pesquisas do Splunk. Espero que você tenha gostado de ler meu segundo blog sobre objetos de conhecimento.

Você deseja aprender sobre o Splunk e implementá-lo em seu negócio? Confira nosso aqui, isso vem com treinamento ao vivo conduzido por instrutor e experiência de projeto da vida real.

Big Data

Categorias

Popular Articles

O que são comentários em Java? - Conheça seus Tipos

Copa do Mundo 2018: 5 tecnologias para mudar o jogo no futebol

Como lidar com deadlock em Java?

Como implementar Merge Sort em Python?

Apache Kafka: Sistema de Mensagens Distribuídas de Próxima Geração

Chave primária em SQL: tudo o que você precisa saber sobre operações de chave primária

O que é o Chef? - Uma ferramenta usada para gerenciamento de configuração

Principais estruturas de dados e algoritmos em Java que você precisa saber

Carreiras UiPath - Aprenda como construir uma carreira na RPA

Substituir em Java: tudo o que você precisa saber