V svojem prejšnjem blogu sem govoril o treh predmetih znanja: Časovni grafikon Splunk, podatkovni model in opozorilo ki so bili povezani s poročanjem in vizualizacijo podatkov. Če si želite ogledati, se lahko obrnete tukaj . V tem blogu bom razložil dogodke Splunk, vrste dogodkov in oznake Splunk.
Ti predmeti znanja pomagajo obogatiti vaše podatke, da bi jih lažje iskali in o njih poročali.
Začnimo s Splunk Events.
Splunk dogodki
Dogodek se nanaša na posamezne podatke. Podatki po meri, ki so bili posredovani strežniku Splunk, se imenujejo dogodki Splunk. Ti podatki so lahko v kateri koli obliki, na primer: niz, številka ali objekt JSON.
Naj vam pokažem, kako izgledajo dogodki v Splunku:
Kot lahko vidite na zgornjem posnetku zaslona, obstajajo privzeta polja (gostitelj, vir, vrsta izvora in čas), ki se dodajo po indeksiranju. Razumejmo ta privzeta polja:
- Host: Host je ime IP naslova naprave ali naprave, od koder prihajajo podatki. Na zgornjem posnetku zaslonaMoj strojje gostitelj.
- Vir: Vir je izvor podatkov gostitelja. To je celotno ime poti ali datoteka ali imenik znotraj stroja.
Na primer:C: Splunkemp_data.txt - Sourcetype: Sourcetype določa obliko podatkov, ne glede na to, ali gre za datoteko dnevnika, XML, CSV ali polje niti. Vsebuje podatkovno strukturo dogodka.
Na primer:data_data - Kazalo: To je ime indeksa, v katerem se indeksirajo neobdelani podatki. Če ne navedete ničesar, gre v privzeti indeks.
- Čas: To je polje, ki prikazuje čas, v katerem je bil dogodek ustvarjen. Vsak dogodek ima črtno kodo in ga ni mogoče spremeniti. Nekaj časa ga lahko preimenujete ali narežete, da spremenite njegovo predstavitev.
Na primer:3/4/16 7:53:51predstavlja časovni žig določenega dogodka.
Zdaj pa se naučimo, kako tipi dogodkov Splunk pomagajo pri združevanju podobnih dogodkov.
Vrste dogodkov Splunk
Predpostavimo, da imate niz, ki vsebuje ime zaposlenega inID zaposlenegadoin želite iskati niz z eno iskalno poizvedbo, namesto da bi jih iskali posamezno. Tu vam lahko pomagajo vrste Splunk Event. Ti dve ločeni dogodki Splunk združita v skupine in ta niz lahko shranite kot eno vrsto dogodka (Employee_Detail).
- Vrsta dogodka Splunk se nanaša na zbirko podatkov, ki pomaga pri kategorizaciji dogodkov na podlagi skupnih značilnosti.
- To je uporabniško določeno polje, ki skenira ogromno podatkov in vrne rezultate iskanja v obliki nadzornih plošč. Opozorila lahko ustvarite tudi na podlagi rezultatov iskanja.
Upoštevajte, da med definiranjem vrste dogodka ne morete uporabiti znaka črte ali iskanja podsekcije. Lahko pa eno ali več oznak povežete z vrsto dogodka.Zdaj pa se naučimo, kako so ustvarjene te vrste dogodkov Splunk.
Tip dogodka lahko ustvarite na več načinov:
- Uporaba iskanja
- Uporaba pripomočka za vrsto dogodka gradnje
- Uporaba spleta Splunk
- Konfiguracijske datoteke (eventtypes.conf)
Pojdimo podrobneje, da ga pravilno razumemo:
eno. Uporaba iskanja: Tip dogodka lahko ustvarimo s pisanjem preproste iskalne poizvedbe.
Pojdite skozi spodnje korake, da ga ustvarite:
> Zaženite iskanje z iskalnim nizom
Na primer: index = emp_details emp_id = 3
> Kliknite Shrani kot in izberite Vrsta dogodka.
Za boljše razumevanje si lahko ogledate spodnji posnetek zaslona:
obrni številko v pythonu
2. Uporaba pripomočka za vrsto dogodka gradnje: Pripomoček Build Event Type vam omogoča dinamično ustvarjanje vrst dogodkov na podlagi dogodkov Splunk, ki jih vrne iskanje. Ta pripomoček omogoča tudi dodelitev določenih barv vrstam dogodkov.
To orodje najdete v rezultatih iskanja. Pojdimo skozi spodnje korake: 
1. korak: Odprite spustni meni dogodkov
2. korak: Poiščite puščico navzdol poleg časovnega žiga dogodka
Korak 3: Kliknite Vrsta dogodka gradnje
Ko kliknete na ‘Build Event Type’, prikazano na zgornjem posnetku zaslona, bo vrnil izbrani nabor dogodkov na podlagi določenega iskanja.
3. Uporaba Splunk Web: To je najlažji način za ustvarjanje vrste dogodka.
Za to lahko sledite tem korakom:
»Pojdite v Nastavitve
»Pomaknite se do Evjent Vrste
»Kliknite Novo
Naj vzamem isti primer zaposlenega, da bo to lažje.
Iskalna poizvedba bi bila v tem primeru enaka:
index = emp_details emp_id = 3
Za boljše razumevanje si oglejte spodnji posnetek zaslona:
Štiri. Konfiguracijske datoteke (eventtypes.conf): Vrste dogodkov lahko ustvarite z neposrednim urejanjem konfiguracijske datoteke eventtypes.conf v $ SPLUNK_HOME / etc / system / local
Na primer: “Employee_Detail”
Za boljše razumevanje si oglejte spodnji posnetek zaslona:
Do zdaj bi že razumeli, kako se ustvarjajo in prikazujejo vrste dogodkov. Nato se naučimo, kako lahko uporabljamo oznake Splunk in kako vnašajo jasnost v vaše podatke.
Oznake Splunk
Zavedati se morate, kaj oznaka na splošno pomeni. Večina nas funkcijo označevanja v Facebooku uporablja za označevanje prijateljev na objavi ali fotografiji. Tudi v Splunku označevanje deluje na podoben način. Razumimo to na primeru. Za indeks Splunk imamo polje emp_id. Zdaj želite navesti oznako (Employee2) za par emp_id = 2 polje / vrednost. Ustvarimo lahko oznako za emp_id = 2, ki jo zdaj lahko iščemo s pomočjo Employee2.
- Oznake Splunk se uporabljajo za dodelitev imen določenim poljem in kombinacijam vrednosti.
- To je najpreprostejša metoda za iskanje rezultatov v paru med iskanjem. Vsaka vrsta dogodka ima lahko več oznak za hitre rezultate.
- Pomaga pri iskanjuskupine podatkov o dogodkih učinkoviteje.
- Označevanje se izvede na paru vrednosti ključ, ki pomaga dobiti informacije, povezane z določenim dogodkom, vrsta dogodka pa vsebuje informacije o vseh dogodkih Splunk, povezanih z njim.
- Enojni vrednosti lahko dodelite tudi več oznak.
Oglejte si posnetek zaslona na desni strani, da ustvarite oznako Splunk.
Pojdite v Nastavitve -> Oznake
Zdaj ste morda razumeli, kako je ustvarjena oznaka. Zdaj bomo razumeli, kako se upravljajo oznake Splunk. Na strani z oznakami v nastavitvah so trije pogledi:
1. Seznam po paru vrednosti polja
2. Seznam po imenu oznake
3. Vsi unikatni predmeti oznak
kaj je jframe v javi
Pojdimo v več podrobnosti in razumemo različne načine upravljanjain dobili hiter dostop do asociacij med oznakami in pari polje / vrednost.
eno. Seznam po paru vrednosti polja: To vam pomaga pregledati ali določiti nabor oznak za par polje / vrednost. Ogledate si lahko seznam takih seznamov za določeno oznako.
Za boljše razumevanje si oglejte spodnji posnetek zaslona:
2. Seznam po imenu oznake: Pomaga vam pri pregledu in urejanju naborov parov polje / vrednost. Seznam seznamov polj / vrednosti za določeno oznako najdete tako, da odprete pogled »seznam po imenu oznake« in nato kliknete na ime oznake. To vas popelje na stran s podrobnostmi oznake.
Primer: Odprite stran s podrobnostmi o oznaki zaposlenega 2.
Za boljše razumevanje si oglejte spodnji posnetek zaslona:
3. Vsi unikatni predmeti oznak: Pomaga vam zagotoviti vsa edinstvena imena oznak in sezname polj / vrednosti v vašem sistemu. Z določeno oznako lahko hitro poiščete, da hitro vidite vse pare polje / vrednost, s katerimi je povezana. Preprosto lahko vzdržujete dovoljenja, da omogočite ali onemogočite določeno oznako.
Za boljše razumevanje si oglejte spodnji posnetek zaslona:
Zdaj obstajata dva načina za iskanje po oznakah:
- Če moramo v katerem koli polju iskati oznako, povezano z vrednostjo, lahko uporabimo:
tag =
V zgornjem primeru bi bilo: tag = zaposleni2 - Če v določenem polju iščemo oznako, povezano z vrednostjo, lahko uporabimo:
oznaka :: =
V zgornjem primeru bi bilo: tag :: emp_id = worker2
V tem blogu sem razložil tri predmete znanja (dogodki Splunk, vrsta dogodka in oznake), ki vam olajšajo iskanje. V naslednjem blogu bom razložil še nekaj predmetov znanja, kot so polja Splunk, kako deluje ekstrakcija polj in iskanja Splunk. Upam, da ste uživali v branju mojega drugega spletnega dnevnika o predmetih znanja.
Ali se želite naučiti Splunka in ga uporabiti v svojem poslu? Oglejte si našo tu prihaja z izobraževanjem v živo inštruktorjev in izkušnjami iz resničnih projektov.