Dans mon blog précédent, j'ai parlé de 3 objets Knowledge: Splunk Timechart, modèle de données et alerte qui étaient liés au reporting et à la visualisation des données. Au cas où vous voudriez jeter un œil, vous pouvez vous référer Ici . Dans ce blog, je vais expliquer les événements Splunk, les types d'événements et les balises Splunk.
Ces objets de connaissance aident à enrichir vos données afin de les rendre plus faciles à rechercher et à générer des rapports.
Alors, commençons avec Splunk Events.
Événements Splunk
Un événement fait référence à n'importe quelle donnée individuelle. Les données personnalisées qui ont été transmises au serveur Splunk sont appelées événements Splunk. Ces données peuvent être dans n'importe quel format, par exemple: une chaîne, un nombre ou un objet JSON.
Laissez-moi vous montrer à quoi ressemblent les événements dans Splunk:
Comme vous pouvez le voir dans la capture d'écran ci-dessus, il existe des champs par défaut (hôte, source, type de source et heure) qui sont ajoutés après l'indexation. Comprenons ces champs par défaut:
- Hôte: l'hôte est un nom d'adresse IP de machine ou d'appliance d'où proviennent les données. Dans la capture d'écran ci-dessus,Ma-Machineest l'hôte.
- Source: La source est la provenance des données de l'hôte. C'est le chemin complet ou un fichier ou un répertoire dans une machine.
Par exemple:C: Splunkemp_data.txt - Sourcetype: Sourcetype identifie le format des données, qu'il s'agisse d'un fichier journal, XML, CSV ou d'un champ de thread. Il contient la structure de données de l'événement.
Par exemple:données_employé - Index: c'est le nom de l'index où les données brutes sont indexées. Si vous ne spécifiez rien, il entre dans un index par défaut.
- Heure: C'est un champ qui affiche l'heure à laquelle l'événement a été généré. Il porte un code-barres avec chaque événement et ne peut pas être modifié. Vous pouvez le renommer ou le découper pendant un certain temps afin de modifier sa présentation.
Par exemple:16/4/16 7:53:51représente l'horodatage d'un événement particulier.
Voyons maintenant comment les types d'événements Splunk vous aident à regrouper des événements similaires.
Types d'événements Splunk
Supposons que vous ayez une chaîne contenant le nom de l'employé etidentifiant d'employéànd vous souhaitez rechercher la chaîne en utilisant une seule requête de recherche plutôt que de les rechercher individuellement. Les types d'événements Splunk peuvent vous aider ici. Ils regroupent ces deux événements Splunk distincts et vous pouvez enregistrer cette chaîne en tant que type d'événement unique (Employee_Detail).
- Le type d'événement Splunk fait référence à une collection de données qui aide à catégoriser les événements en fonction de caractéristiques communes.
- Il s'agit d'un champ défini par l'utilisateur qui analyse une énorme quantité de données et renvoie les résultats de la recherche sous forme de tableaux de bord. Vous pouvez également créer des alertes en fonction des résultats de la recherche.
Notez que vous ne pouvez pas utiliser un caractère pipe ou une recherche secondaire lors de la définition d'un type d'événement. Mais vous pouvez associer une ou plusieurs balises à un type d'événement.Voyons maintenant comment ces types d'événements Splunk sont créés.
Il existe plusieurs façons de créer un type d'événement:
- Utilisation de la recherche
- Utilisation de l'utilitaire de type d'événement de construction
- Utilisation de Splunk Web
- Fichiers de configuration (eventtypes.conf)
Allons plus en détail pour bien le comprendre:
un. Utilisation de la recherche: Nous pouvons créer un type d'événement en écrivant une simple requête de recherche.
Suivez les étapes ci-dessous pour en créer un:
> Lancer une recherche avec la chaîne de recherche
Par exemple: index = emp_details emp_id = 3
> Cliquez sur Enregistrer sous et sélectionnez Type d'événement.
Vous pouvez vous référer à la capture d'écran ci-dessous pour avoir une meilleure compréhension:
2. Utilisation de l'utilitaire de type d'événement de construction: L'utilitaire de création de type d'événement vous permet de créer dynamiquement des types d'événement en fonction des événements Splunk renvoyés par les recherches. Cet utilitaire vous permet également d'attribuer des couleurs spécifiques aux types d'événements.
comment analyser xml en java
Vous pouvez trouver cet utilitaire dans vos résultats de recherche. Passons en revue les étapes ci-dessous: 
Étape 1: Ouvrez le menu déroulant des événements
Étape 2: recherchez la flèche vers le bas à côté de l'horodatage de l'événement
Étape 3: cliquez sur Type d'événement de création
Une fois que vous avez cliqué sur «Construire le type d’événement» affiché dans la capture d’écran ci-dessus, l’ensemble d’événements sélectionné sera renvoyé en fonction d’une recherche particulière.
3. Utilisation de Splunk Web: C'est le moyen le plus simple de créer un type d'événement.
Pour cela, vous pouvez suivre ces étapes:
' Aller aux paramètres
»Accédez à EvestTypes de nt
»Cliquez sur Nouveau
Permettez-moi de prendre le même exemple d'employé pour vous faciliter la tâche.
La requête de recherche serait la même dans ce cas:
index = emp_details emp_id = 3
Reportez-vous à la capture d'écran ci-dessous pour mieux comprendre:
Quatre. Fichiers de configuration (eventtypes.conf): Vous pouvez créer des types d'événements en éditant directement le fichier de configuration eventtypes.conf dans $ SPLUNK_HOME / etc / system / local
Par exemple: 'Employee_Detail'
Reportez-vous à la capture d'écran ci-dessous pour mieux comprendre:
À présent, vous auriez compris comment les types d'événements sont créés et affichés. Ensuite, apprenons comment les balises Splunk peuvent être utilisées et comment elles apportent de la clarté à vos données.
différence entre surcharge et remplacement en java
Balises Splunk
Vous devez être conscient de ce que signifie une balise en général. La plupart d'entre nous utilisent la fonction de marquage de Facebook pour marquer des amis dans une publication ou une photo. Même dans Splunk, le marquage fonctionne de la même manière. Comprenons cela avec un exemple. Nous avons un champ emp_id pour un index Splunk. Vous souhaitez maintenant fournir une balise (Employee2) à la paire champ / valeur emp_id = 2. Nous pouvons créer une balise pour emp_id = 2 qui peut maintenant être recherchée en utilisant Employee2.
- Les balises Splunk sont utilisées pour attribuer des noms à des champs et des combinaisons de valeurs spécifiques.
- C'est la méthode la plus simple pour obtenir les résultats par paire lors de la recherche. Tout type d'événement peut avoir plusieurs balises pour obtenir des résultats rapides.
- Cela aide à recherchergroupes de données d'événements plus efficacement.
- Le balisage est effectué sur la paire clé / valeur, ce qui permet d'obtenir des informations relatives à un événement particulier, tandis qu'un type d'événement fournit les informations de tous les événements Splunk qui lui sont associés.
- Vous pouvez également affecter plusieurs balises à une seule valeur.
Regardez la capture d'écran sur le côté droit pour créer une balise Splunk.
Allez dans Paramètres -> Balises
Maintenant, vous avez peut-être compris comment une balise est créée. Voyons maintenant comment les balises Splunk sont gérées. Il existe trois vues dans la page de balises sous Paramètres:
1. Liste par paire de valeurs de champ
2. Liste par nom de balise
3. Tous les objets de balise uniques
Entrons dans plus de détails et comprenons différentes manières de géreret obtenez un accès rapide aux associations qui sont faites entre les balises et les paires champ / valeur.
un. Liste par paire de valeurs de champ: Cela vous aide à examiner ou à définir un ensemble de balises pour une paire champ / valeur. Vous pouvez voir la liste de ces appariements pour une balise particulière.
Reportez-vous à la capture d'écran ci-dessous pour mieux comprendre:
comment utiliser le scanner en java
2. Liste par nom de balise: Il vous aide à revoir et à modifier les ensembles de paires champ / valeur. Vous pouvez trouver la liste des associations champ / valeur pour une balise particulière en accédant à la vue «Liste par nom de balise», puis en cliquant sur le nom de la balise. Cela vous amène à la page de détail de la balise.
Exemple: ouvrez la page de détail de la balise employé 2.
Reportez-vous à la capture d'écran ci-dessous pour mieux comprendre:
3. Tous les objets d'étiquette uniques: Il vous aide à fournir tous les noms de balises uniques et les paires champ / valeur de votre système. Vous pouvez rechercher une balise particulière pour voir rapidement toutes les paires champ / valeur auxquelles elle est associée. Vous pouvez facilement maintenir les autorisations, pour activer ou désactiver une balise particulière.
Reportez-vous à la capture d'écran ci-dessous pour mieux comprendre:
Maintenant, il existe 2 façons de rechercher des tags:
- Si nous devons rechercher une balise associée à une valeur dans n'importe quel champ, nous pouvons utiliser:
tag =
Dans l'exemple ci-dessus, ce serait: tag = employee2 - Si nous recherchons une balise associée à une valeur dans un champ spécifié, nous pouvons utiliser:
tag :: =
Dans l'exemple ci-dessus, ce serait: tag :: emp_id = employee2
Dans ce blog, j'ai expliqué trois objets de connaissance (événements Splunk, type d'événement et balises) qui facilitent vos recherches. Dans mon prochain blog, j'expliquerai d'autres objets de connaissance comme les champs Splunk, le fonctionnement de l'extraction de champs et les recherches Splunk. J'espère que vous avez apprécié la lecture de mon deuxième blog sur les objets de connaissance.
Vous souhaitez apprendre Splunk et l'implémenter dans votre entreprise? Découvrez notre ici, cela vient avec une formation en direct animée par un instructeur et une expérience de projet réelle.