logo

Splunk Knowledge-objecten: Splunk-gebeurtenissen, gebeurtenistypen en tags

Hoofd Big Data Splunk Knowledge-objecten: Splunk-gebeurtenissen, gebeurtenistypen en tags



In deze Splunk tutorial blog leer je de verschillende kennisobjecten zoals Splunk Events, Event Types en Splunk Tags.

In mijn vorige blog sprak ik over 3 Kennisobjecten: Splunk Timechart, Data model en Alert die betrekking hadden op het rapporteren en visualiseren van gegevens. Als u een kijkje wilt nemen, kunt u verwijzen hier . In deze blog ga ik Splunk Events, Event types en Splunk Tags uitleggen.
Deze kennisobjecten helpen om uw data te verrijken, zodat ze gemakkelijker te doorzoeken en rapporteren zijn.

Laten we dus aan de slag gaan met Splunk Events.

Splunk-evenementen

Een gebeurtenis verwijst naar een individueel gegeven. De aangepaste gegevens die zijn doorgestuurd naar Splunk Server worden Splunk Events genoemd. Deze gegevens kunnen elk formaat hebben, bijvoorbeeld: een string, een getal of een JSON-object.





Ik zal je laten zien hoe evenementen eruit zien in Splunk:

finale vs eindelijk vs finaliseren

splunk-events-edureka
Zoals je kunt zien in de bovenstaande schermafbeelding, zijn er standaardvelden (Host, Bron, Bron type en Tijd) die worden toegevoegd na indexering. Laten we deze standaardvelden begrijpen:



  1. Host: Host is een IP-adresnaam van een machine of apparaat waar de gegevens vandaan komen. In de bovenstaande schermafbeelding,Mijn-machineis de gastheer.
  2. Bron: de bron is waar de hostgegevens vandaan komen. Het is de volledige padnaam of een bestand of directory binnen een machine.
    Bijvoorbeeld:C: Splunkemp_data.txt
  3. Sourcetype: Sourcetype identificeert het formaat van de gegevens, of het nu een logbestand, XML, CSV of een threadveld is. Het bevat de datastructuur van de gebeurtenis.
    Bijvoorbeeld:werknemer_gegevens
  4. Index: het is de naam van de index waarin de onbewerkte gegevens worden geïndexeerd. Als u niets specificeert, gaat het naar een standaardindex.
  5. Tijd: het is een veld dat de tijd weergeeft waarop de gebeurtenis is gegenereerd. Het is bij elke gebeurtenis voorzien van een streepjescode en kan niet worden gewijzigd. U kunt het voor een bepaalde tijd hernoemen of segmenteren om de presentatie ervan te wijzigen.
    Bijvoorbeeld:3/4/16 7:53:51vertegenwoordigt het tijdstempel van een bepaalde gebeurtenis.

Laten we nu eens kijken hoe Splunk Event-typen u helpen om vergelijkbare evenementen te groeperen.

Splunk-gebeurtenistypen

Stel dat u een string heeft met de naam van de werknemer enwerknemer-IDnaarnd u wilt de string doorzoeken met een enkele zoekopdracht in plaats van ze afzonderlijk te doorzoeken. Splunk Event-typen kunnen je hierbij helpen. Ze groeperen deze twee afzonderlijke Splunk-events en u kunt deze string opslaan als een enkel eventtype (Employee_Detail).

  • Splunk-gebeurtenistype verwijst naar een verzameling gegevens die helpt bij het categoriseren van gebeurtenissen op basis van gemeenschappelijke kenmerken.
  • Het is een door de gebruiker gedefinieerd veld dat door enorme hoeveelheden gegevens scant en de zoekresultaten retourneert in de vorm van dashboards. U kunt ook alerts maken op basis van de zoekresultaten.

Houd er rekening mee dat u geen pipe-teken of een subzoekopdracht kunt gebruiken bij het definiëren van een gebeurtenistype. Maar u kunt een of meer tags aan een gebeurtenistype koppelen.Laten we nu eens kijken hoe deze Splunk-gebeurtenistypen worden gemaakt.
Er zijn meerdere manieren om een ​​gebeurtenistype te maken:



  1. Zoeken gebruiken
  2. Met behulp van Build Event Type Utility
  3. Splunk Web gebruiken
  4. Configuratiebestanden (eventtypes.conf)

Laten we dieper ingaan om het goed te begrijpen:

een. Zoeken gebruiken: We kunnen een gebeurtenistype maken door een eenvoudige zoekopdracht te schrijven.
Doorloop de onderstaande stappen om er een te maken:
> Voer een zoekopdracht uit met de zoekreeks
Bijvoorbeeld: index = emp_details emp_id = 3
> Klik op Opslaan als en selecteer Gebeurtenistype.
U kunt de onderstaande schermafbeelding raadplegen om een ​​beter begrip te krijgen:


 2. Met behulp van het hulpprogramma Build Event Type: Met het hulpprogramma Build Event Type kunt u dynamisch gebeurtenistypen maken op basis van Splunk-gebeurtenissen die worden geretourneerd door zoekopdrachten. Met dit hulpprogramma kunt u ook specifieke kleuren toewijzen aan gebeurtenistypen.


U vindt dit hulpprogramma in uw zoekresultaten. Laten we de onderstaande stappen doorlopen: Splunk-event-actions-splunk-events-Edureka
Stap 1: Open het vervolgkeuzemenu
Stap 2: zoek de pijl omlaag naast het tijdstempel van de gebeurtenis
Stap 3: Klik op Gebeurtenistype bouwen
Zodra u klikt op ‘Gebeurtenistype bouwen’ dat wordt weergegeven in de bovenstaande schermafbeelding, wordt de geselecteerde reeks gebeurtenissen geretourneerd op basis van een bepaalde zoekopdracht.

3. Splunk Web gebruiken: Dit is de gemakkelijkste manier om een ​​gebeurtenistype te maken.
Hiervoor kunt u deze stappen volgen:
' Ga naar Instellingen
»Navigeer naar Evisnt typen
»Klik op Nieuw

Laat me hetzelfde werknemersvoorbeeld nemen om het gemakkelijk te maken.
De zoekopdracht zou in dit geval hetzelfde zijn:
index = emp_details emp_id = 3

Raadpleeg de onderstaande schermafbeelding voor een beter begrip:

Vier. Configuratiebestanden (eventtypes.conf): U kunt gebeurtenistypen maken door het configuratiebestand eventtypes.conf direct te bewerken in $ SPLUNK_HOME / etc / system / local
Bijvoorbeeld: 'Employee_Detail'
Raadpleeg de onderstaande schermafbeelding voor een beter begrip:

U zou nu hebben begrepen hoe gebeurtenistypen worden gemaakt en weergegeven. Laten we vervolgens leren hoe Splunk-tags kunnen worden gebruikt en hoe ze duidelijkheid brengen in uw gegevens.


Splunk-tags

U moet weten wat een tag in het algemeen betekent. De meesten van ons gebruiken de tagging-functie op Facebook om vrienden in een bericht of foto te taggen. Zelfs in Splunk werkt tagging op een vergelijkbare manier. Laten we dit met een voorbeeld begrijpen. We hebben een emp_id-veld voor een Splunk-index. Nu wilt u een tag (Employee2) opgeven voor emp_id = 2 veld / waarde-paar. We kunnen een tag maken voor emp_id = 2 die nu kan worden doorzocht met Employee2.

  • Splunk-tags worden gebruikt om namen toe te wijzen aan specifieke velden en waardecombinaties.
  • Het is de eenvoudigste methode om de resultaten tijdens het zoeken in paren te krijgen. Elk gebeurtenistype kan meerdere tags hebben om snelle resultaten te krijgen.
  • Het helpt om te zoekengroepen gebeurtenisgegevens efficiënter.
  • Het taggen gebeurt op het sleutel-waardepaar, wat helpt om informatie te verkrijgen met betrekking tot een bepaalde gebeurtenis, terwijl een gebeurtenistype de informatie levert van alle Splunk-gebeurtenissen die eraan zijn gekoppeld.
  • U kunt ook meerdere tags aan één waarde toewijzen.

Bekijk de schermafbeelding aan de rechterkant om een ​​Splunk-tag te maken.

Ga naar Instellingen -> Tags

Nu heb je misschien begrepen hoe een tag wordt gemaakt. Laten we nu begrijpen hoe Splunk-tags worden beheerd. Er zijn drie weergaven in Tagpagina onder Instellingen:
1. Lijst per veldwaardepaar
2. Lijst op tagnaam
3. Alle unieke tag-objecten

Laten we dieper ingaan op de details en de verschillende manieren van beheer begrijpenen krijg snel toegang tot associaties die worden gemaakt tussen tags en veld / waarde-paren.

een. Lijst per veldwaarde-paar: Dit helpt u bij het beoordelen of definiëren van een set tags voor een veld / waarde-paar. U kunt de lijst met dergelijke koppelingen voor een bepaalde tag bekijken.
Raadpleeg de onderstaande schermafbeelding voor een beter begrip:

is een masteropleiding die als postdoctoraal wordt beschouwd


2. Lijst op tagnaam: Het helpt u bij het bekijken en bewerken van de sets veld / waarde-paren. U kunt de lijst met veld / waarde-paren voor een bepaalde tag vinden door naar de weergave ‘lijst op tagnaam’ te gaan en vervolgens op de tagnaam te klikken. Dit brengt je naar de detailpagina van de tag.
Voorbeeld: Open de detailpagina van de tag werknemer 2.
Raadpleeg de onderstaande schermafbeelding voor een beter begrip:

3. Alle unieke tag-objecten: Het helpt u om alle unieke tagnamen en veld / waarde-paren in uw systeem op te geven. U kunt een bepaalde tag doorzoeken om snel alle veld / waarde-paren te zien waaraan deze is gekoppeld. U kunt eenvoudig de rechten behouden om een ​​bepaalde tag in of uit te schakelen.

Raadpleeg de onderstaande schermafbeelding voor een beter begrip:

Nu zijn er twee manieren om in tags te zoeken:

  • Als we een tag moeten zoeken die is gekoppeld aan een waarde in een veld, kunnen we het volgende gebruiken:
    tag =
    In het bovenstaande voorbeeld zou het zijn: tag = werknemer2
  • Als we op zoek zijn naar een tag die is gekoppeld aan een waarde in een bepaald veld, kunnen we het volgende gebruiken:
    tag :: =
    In het bovenstaande voorbeeld zou het zijn: tag :: emp_id = employee2

In deze blog heb ik drie kennisobjecten uitgelegd (Splunk-gebeurtenissen, gebeurtenistype en tags) die je helpen om je zoekopdrachten gemakkelijker te maken. In mijn volgende blog zal ik wat meer kennisobjecten uitleggen, zoals Splunk-velden, hoe veldextractie werkt en Splunk-lookups. Ik hoop dat je het leuk vond om mijn tweede blog over kennisobjecten te lezen.

Wilt u Splunk leren kennen en implementeren in uw bedrijf? Bekijk onze hier, dat wordt geleverd met live training onder leiding van een instructeur en real-life projectervaring.

Big Data

Categorieën

Popular Articles

Hoe webapplicaties te beveiligen met AWS WAF?

Big Data Analytics-tools met hun belangrijkste kenmerken

Real-time big data-applicaties in verschillende domeinen

MongoDB met Hadoop en gerelateerde Big Data-technologieën

Wat is Business Analytics? Alles wat u moet weten

Wat zijn de voor- en nadelen van Angular?

Een inleiding tot de Power Query-editor

Hoe Intval in PHP te implementeren?

Wat is Remote Method Invocation in Java?

Bouw je eerste Machine Learning Classifier in Python