logo

Objetos de conocimiento de Splunk: eventos de Splunk, tipos de eventos y etiquetas

Principal Big Data Objetos de conocimiento de Splunk: eventos de Splunk, tipos de eventos y etiquetas



En este blog de tutoriales de Splunk, aprenderá los diferentes objetos de conocimiento como Eventos de Splunk, Tipos de eventos y Etiquetas de Splunk.

En mi blog anterior, hablé sobre 3 objetos de conocimiento: Diagrama de tiempo de Splunk, modelo de datos y alerta que estaban relacionados con la presentación de informes y la visualización de datos. En caso de que quiera echar un vistazo, puede consultar Aquí . En este blog, voy a explicar los eventos de Splunk, los tipos de eventos y las etiquetas de Splunk.
Estos objetos de conocimiento ayudan a enriquecer sus datos para facilitar su búsqueda y generación de informes.

Entonces, comencemos con Splunk Events.

Eventos de Splunk

Un evento se refiere a cualquier dato individual. Los datos personalizados que se han reenviado a Splunk Server se denominan Eventos de Splunk. Estos datos pueden estar en cualquier formato, por ejemplo: una cadena, un número o un objeto JSON.





Déjame mostrarte cómo se ven los eventos en Splunk:

splunk-events-edureka
Como puede ver en la captura de pantalla anterior, hay campos predeterminados (Host, Fuente, Tipo de fuente y Hora) que se agregan después de la indexación. Entendamos estos campos predeterminados:



  1. Host: Host es un nombre de dirección IP de máquina o dispositivo de donde provienen los datos. En la captura de pantalla anterior,Mi-máquinaes el anfitrión.
  2. Fuente: la fuente es de donde provienen los datos del host. Es el nombre de ruta completo o un archivo o directorio dentro de una máquina.
    Por ejemplo:C: Splunkemp_data.txt
  3. Sourcetype: Sourcetype identifica el formato de los datos, ya sea un archivo de registro, XML, CSV o un campo de hilo. Contiene la estructura de datos del evento.
    Por ejemplo:empleado_datos
  4. Índice: es el nombre del índice donde se indexan los datos brutos. Si no especifica nada, entra en un índice predeterminado.
  5. Hora: Es un campo que muestra la hora a la que se generó el evento. Tiene un código de barras con cada evento y no se puede cambiar. Puede cambiarle el nombre o cortarlo durante un período de tiempo para cambiar su presentación.
    Por ejemplo:3/4/16 7:53:51representa la marca de tiempo de un evento en particular.

Ahora, aprendamos cómo los tipos de eventos de Splunk lo ayudan a agrupar eventos similares.

Tipos de eventos de Splunk

Suponga que tiene una cadena que contiene el nombre del empleado yID de empleadoay desea buscar la cadena utilizando una única consulta de búsqueda en lugar de buscarlos individualmente. Los tipos de eventos de Splunk pueden ayudarlo aquí. Ellos agrupan estos dos eventos Splunk separados y puede guardar esta cadena como un solo tipo de evento (Employee_Detail).

diferencia entre c c ++ y java
  • El tipo de evento Splunk se refiere a una recopilación de datos que ayuda a clasificar los eventos en función de características comunes.
  • Es un campo definido por el usuario que escanea una gran cantidad de datos y devuelve los resultados de la búsqueda en forma de paneles. También puede crear alertas basadas en los resultados de la búsqueda.

Tenga en cuenta que no puede utilizar un carácter de barra vertical o una búsqueda secundaria al definir un tipo de evento. Pero puede asociar una o más etiquetas con un tipo de evento.Ahora, aprendamos cómo se crean estos tipos de eventos de Splunk.
Hay varias formas de crear un tipo de evento:



  1. Usando la búsqueda
  2. Uso de la utilidad Build Event Type
  3. Usando Splunk Web
  4. Archivos de configuración (eventtypes.conf)

Entremos en más detalle para entenderlo correctamente:

1. Usando la búsqueda: Podemos crear un tipo de evento escribiendo una simple consulta de búsqueda.
Siga los pasos a continuación para crear uno:
> Ejecutar una búsqueda con la cadena de búsqueda
Por ejemplo: index = emp_details emp_id = 3
> Haga clic en Guardar como y seleccione Tipo de evento.
Puede consultar la siguiente captura de pantalla para comprender mejor:


 2. Usando la utilidad de tipo de evento de compilación: La utilidad Build Event Type le permite crear dinámicamente tipos de eventos basados ​​en eventos de Splunk devueltos por búsquedas. Esta utilidad también le permite asignar colores específicos a tipos de eventos.


Puede encontrar esta utilidad en sus resultados de búsqueda. Repasemos los pasos a continuación: Splunk-event-actions-splunk-events-Edureka
Paso 1: abre el menú desplegable de eventos
Paso 2: busque la flecha hacia abajo junto a la marca de tiempo del evento
Paso 3: haga clic en Crear tipo de evento
Una vez que haga clic en 'Crear tipo de evento' que se muestra en la captura de pantalla anterior, devolverá el conjunto de eventos seleccionado según una búsqueda en particular.

3. Usando Splunk Web: Esta es la forma más sencilla de crear un tipo de evento.
Para ello, puede seguir estos pasos:
' Ir a la configuración
»Navegar a Evestipos nt
»Haga clic en Nuevo

Permítanme tomar el mismo ejemplo de empleado para hacerlo más fácil.
La consulta de búsqueda sería la misma en este caso:
index = emp_details emp_id = 3

matriz de objetos en java

Consulte la captura de pantalla a continuación para comprender mejor:

4. Archivos de configuración (eventtypes.conf): Puede crear tipos de eventos editando directamente el archivo de configuración eventtypes.conf en $ SPLUNK_HOME / etc / system / local
Por ejemplo: 'Employee_Detail'
Consulte la captura de pantalla a continuación para comprender mejor:

A estas alturas, habrá entendido cómo se crean y muestran los tipos de eventos. A continuación, aprendamos cómo se pueden utilizar las etiquetas Splunk y cómo aportan claridad a sus datos.


Etiquetas de Splunk

Debe ser consciente de lo que significa una etiqueta en general. La mayoría de nosotros usamos la función de etiquetado en Facebook para etiquetar amigos en una publicación o foto. Incluso en Splunk, el etiquetado funciona de manera similar. Entendamos esto con un ejemplo. Tenemos un campo emp_id para un índice de Splunk. Ahora, desea proporcionar una etiqueta (Empleado2) al par emp_id = 2 campo / valor. Podemos crear una etiqueta para emp_id = 2 que ahora se puede buscar usando Employee2.

  • Las etiquetas de Splunk se utilizan para asignar nombres a campos específicos y combinaciones de valores.
  • Es el método más simple para obtener los resultados en pares durante la búsqueda. Cualquier tipo de evento puede tener varias etiquetas para obtener resultados rápidos.
  • Ayuda a buscargrupos de datos de eventos de manera más eficiente.
  • El etiquetado se realiza en el par clave-valor, lo que ayuda a obtener información relacionada con un evento en particular, mientras que un tipo de evento proporciona la información de todos los eventos de Splunk asociados con él.
  • También puede asignar varias etiquetas a un solo valor.

Mire la captura de pantalla en el lado derecho para crear una etiqueta de Splunk.

Vaya a Configuración -> Etiquetas

Ahora, es posible que haya entendido cómo se crea una etiqueta. Entendamos ahora cómo se gestionan las etiquetas de Splunk. Hay tres vistas en la página de etiquetas en Configuración:
1. Lista por par de valores de campo
2. Lista por nombre de etiqueta
3. Todos los objetos de etiqueta únicos

Entremos en más detalles y entendamos las diferentes formas de administrary obtenga acceso rápido a las asociaciones que se realizan entre etiquetas y pares de campo / valor.

1. Lista por par de valores de campo: Esto le ayuda a revisar o definir un conjunto de etiquetas para un par de campo / valor. Puede ver la lista de estos emparejamientos para una etiqueta en particular.
Consulte la captura de pantalla a continuación para comprender mejor:


2. Lista por nombre de etiqueta: Le ayuda a revisar y editar los conjuntos de pares de campo / valor. Puede encontrar la lista de emparejamiento de campo / valor para una etiqueta en particular yendo a la vista 'lista por nombre de etiqueta' y luego haga clic en el nombre de la etiqueta. Esto lo lleva a la página de detalles de la etiqueta.
Ejemplo: Abra la página de detalles de la etiqueta del empleado 2.
Consulte la captura de pantalla a continuación para comprender mejor:

3. Todos los objetos de etiqueta únicos: Le ayuda a proporcionar todos los nombres de etiquetas únicos y los pares de campo / valor en su sistema. Puede buscar una etiqueta en particular para ver rápidamente todos los pares de campo / valor con los que está asociada. Puede mantener fácilmente los permisos para habilitar o deshabilitar una etiqueta en particular.

Consulte la captura de pantalla a continuación para comprender mejor:

ordenar matriz c ++ ascendente

Ahora, hay 2 formas de buscar etiquetas:

  • Si necesitamos buscar una etiqueta asociada con un valor en cualquier campo, podemos usar:
    etiqueta =
    En el ejemplo anterior, sería: tag = employee2
  • Si buscamos una etiqueta asociada con un valor en un campo específico, podemos usar:
    etiqueta :: =
    En el ejemplo anterior, sería: tag :: emp_id = employee2

En este blog, he explicado tres objetos de conocimiento (eventos de Splunk, tipo de evento y etiquetas) que ayudan a facilitar sus búsquedas. En mi próximo blog, explicaré algunos objetos de conocimiento más como los campos de Splunk, cómo funciona la extracción de campos y las búsquedas de Splunk. Espero que hayas disfrutado leyendo mi segundo blog sobre objetos de conocimiento.

¿Desea aprender Splunk e implementarlo en su negocio? Mira nuestro aquí, eso viene con capacitación en vivo dirigida por un instructor y experiencia de proyecto en la vida real.

Big Data

Categorías

Popular Articles

¿Cuál es la diferencia entre CSS y CSS3?

Ejemplos de Hive e Yarn en Spark

Consola de AWS: profundización en la interfaz de administración de AWS

¿Cómo implementar la clase anidada en Java?

Vistas SQL: ¿Cómo trabajar con vistas en SQL?

Java EnumSet: ¿Cómo usar EnumSet en Java?

Kotlin vs Java: ¿Cuál es la mejor opción?

Funciones y mejoras de Java 9

¿Qué son las GAN? ¡Cómo y por qué debería usarlos!

Tutorial de grabación de UiPath: guía completa sobre la grabación en UiPath