logo

„Splunk“ žinių objektai: „Splunk“ įvykiai, įvykių tipai ir žymos

Pagrindinis Dideli Duomenys „Splunk“ žinių objektai: „Splunk“ įvykiai, įvykių tipai ir žymos



Šiame „Splunk“ mokymo tinklaraštyje sužinosite įvairius žinių objektus, tokius kaip „Splunk“ įvykiai, įvykių tipai ir „Splunk“ žymos.

Ankstesniame savo tinklaraštyje kalbėjau apie 3 žinių objektus: „Splunk Timechart“, duomenų modelis ir perspėjimas kurie buvo susiję su duomenų pranešimu ir vizualizavimu. Jei norite pasižiūrėti, galite kreiptis čia . Šiame tinklaraštyje aš paaiškinsiu „Splunk“ įvykius, įvykių tipus ir „Splunk“ žymas.
Šie žinių objektai padeda praturtinti jūsų duomenis, kad būtų lengviau juos ieškoti ir apie juos pranešti.

Taigi, pradėkime nuo „Splunk Events“.

„Splunk“ renginiai

Įvykis reiškia bet kurį atskirą duomenų elementą. Tinkinti duomenys, kurie buvo persiųsti „Splunk Server“, vadinami „Splunk Events“. Šie duomenys gali būti bet kokio formato, pavyzdžiui: eilutė, skaičius arba JSON objektas.





Leiskite man parodyti, kaip įvykiai atrodo „Splunk“:

splunk-events-edureka
Kaip matote aukščiau pateiktoje ekrano kopijoje, yra numatytieji laukai („Host“, „Source“, „Sourcetype“ ir „Time“), kurie pridedami po indeksavimo. Supraskime šiuos numatytuosius laukus:



  1. Pagrindinis kompiuteris: pagrindinis kompiuteris yra mašinos ar įrenginio IP adreso pavadinimas, iš kurio gaunami duomenys. Pirmiau pateiktoje ekrano kopijojeMano mašinayra šeimininkas.
  2. Šaltinis: šaltinis yra vieta, iš kurios gaunami pagrindinio kompiuterio duomenys. Tai yra visas kelio pavadinimas arba failas ar katalogas mašinoje.
    Pavyzdžiui:C: „Splunkemp_data.txt“
  3. „Sourcetype“: „Sourcetype“ nurodo duomenų formatą, nesvarbu, ar tai žurnalo failas, ar XML, ar CSV, ar gijos laukas. Jame yra įvykio duomenų struktūra.
    Pavyzdžiui:darbuotojo_duomenys
  4. Rodyklė: tai indekso, kuriame indeksuojami pirminiai duomenys, pavadinimas. Jei nieko nenurodote, jis patenka į numatytąjį indeksą.
  5. Laikas: tai laukas, kuriame rodomas įvykio sugeneravimo laikas. Kiekviename įvykyje jis yra brūkšninis kodas ir jo negalima pakeisti. Norėdami pakeisti jo pateikimą, tam tikrą laiką galite jį pervadinti arba supjaustyti.
    Pavyzdžiui:2016-03-04 7:53:51žymi konkretaus įvykio laiko žymę.

Dabar sužinokime, kaip „Splunk“ įvykių tipai padeda sugrupuoti panašius įvykius.

„Splunk“ įvykių tipai

Tarkime, kad turite eilutę su darbuotojo vardu irDarbuotojo IDįNorite ieškoti eilutės naudodami vieną paieškos užklausą, o ne ieškodami jų atskirai. Čia jums gali padėti „Splunk“ įvykių tipai. Jie grupuoja šiuos du atskirus „Splunk“ įvykius ir jūs galite išsaugoti šią eilutę kaip vieną įvykio tipą („Employee_Detail“).

  • „Splunk“ įvykio tipas reiškia duomenų rinkinį, kuris padeda suskirstyti įvykius pagal bendras savybes.
  • Tai vartotojo apibrėžtas laukas, kuris nuskaito didžiulį duomenų kiekį ir pateikia paieškos rezultatus informacijos suvestinių pavidalu. Įspėjimus galite kurti ir pagal paieškos rezultatus.

Atkreipkite dėmesį, kad apibrėždami įvykio tipą negalite naudoti simbolio ar antrinės paieškos. Bet jūs galite susieti vieną ar daugiau žymų su įvykio tipu.Dabar sužinokime, kaip kuriami šie „Splunk“ įvykių tipai.
Įvykio tipą galite sukurti keliais būdais:



konvertuoti dvejetainę į dešimtainę Java
  1. Naudojant paiešką
  2. Naudojant „Build Event Type Utility“
  3. „Splunk Web“ naudojimas
  4. Konfigūracijos failai (eventtypes.conf)

Leiskite mums išsamiau suprasti tai tinkamai:

vienas. Paieškos naudojimas: Įvykio tipą galime sukurti parašę paprastą paieškos užklausą.
Atlikite šiuos veiksmus, kad sukurtumėte:
> Vykdykite paiešką naudodami paieškos eilutę
Pavyzdžiui: index = emp_details emp_id = 3
> Spustelėkite Įrašyti kaip ir pasirinkite Įvykio tipas.
Norėdami geriau suprasti, galite kreiptis į toliau pateiktą ekrano kopiją:


 2. „Build Event Type Utility“ naudojimas: „Build Event Type“ naudingumas leidžia dinamiškai kurti įvykių tipus pagal „Splunk“ įvykius, kuriuos grąžina paieškos. Šis įrankis taip pat leidžia priskirti konkrečias spalvas įvykių tipams.


Šią priemonę galite rasti savo paieškos rezultatuose. Atlikime šiuos veiksmus: Splunk-event-actions-splunk-events-Edureka
1 veiksmas: atidarykite išskleidžiamąjį įvykių meniu
2 žingsnis: Raskite rodyklę žemyn šalia įvykio laiko žymės
3 žingsnis: Spustelėkite Kurti įvykio tipą
Kai spustelėsite „Kurti įvykio tipą“, rodomą aukščiau pateiktoje ekrano kopijoje, jis grąžins pasirinktą įvykių rinkinį pagal tam tikrą paiešką.

3. „Splunk Web“ naudojimas: Tai lengviausias būdas sukurti įvykio tipą.
Norėdami tai padaryti, galite atlikti šiuos veiksmus:
' Eikite į nustatymus
»Eikite į Evyrant tipai
»Spustelėkite Naujas

Leiskite paimti to paties darbuotojo pavyzdį, kad tai būtų lengva.
Šiuo atveju paieškos užklausa būtų tokia pati:
index = emp_details emp_id = 3

Norėdami geriau suprasti, žiūrėkite toliau pateiktą ekrano kopiją:

Keturi. Konfigūracijos failai (eventtypes.conf): Galite sukurti įvykių tipus tiesiogiai redaguodami eventtypes.conf konfigūracijos failą, esantį $ SPLUNK_HOME / etc / system / local
Pavyzdys: „Employee_Detail“
Norėdami geriau suprasti, žiūrėkite toliau pateiktą ekrano kopiją:

Dabar jau būtumėte supratę, kaip kuriami ir rodomi įvykių tipai. Tada sužinokime, kaip galima naudoti „Splunk“ žymas ir kaip jos suteikia aiškumo jūsų duomenims.


„Splunk“ žymos

Turite žinoti, ką apskritai reiškia žymė. Daugelis iš mūsų naudoja „Facebook“ žymėjimo funkciją žymėdami draugus įraše ar nuotraukoje. Net „Splunk“ etiketės veikia panašiai. Supraskime tai su pavyzdžiu. „Splunk“ indeksui turime lauką emp_id. Dabar norite pateikti žymę (Employee2) laukui / reikšmei porai emp_id = 2. Mes galime sukurti žymę emp_id = 2, kurios dabar galima ieškoti naudojant „Employee2“.

  • „Splunk“ žymos yra naudojamos priskirti pavadinimus konkretiems laukams ir reikšmių kombinacijoms.
  • Tai paprasčiausias būdas gauti rezultatus poroje ieškant. Bet kuris įvykio tipas gali turėti kelias žymas, kad gautumėte greitus rezultatus.
  • Tai padeda ieškotiefektyviau renginių duomenų grupes.
  • Žymėjimas atliekamas pagrindinių verčių poroje, kuri padeda gauti informaciją, susijusią su konkrečiu įvykiu, o įvykio tipas teikia informaciją apie visus su tuo susijusius „Splunk“ įvykius.
  • Taip pat galite priskirti kelias žymes vienai vertei.

Pažvelkite į dešinėje pusėje pateiktą ekrano kopiją, kad sukurtumėte „Splunk“ žymą.

kaip pridėti Java prie kelio

Eikite į Nustatymai -> Žymos

Dabar galbūt supratote, kaip kuriama žyma. Dabar supraskime, kaip tvarkomos „Splunk“ žymos. Žymos puslapio skiltyje „Nustatymai“ yra trys rodiniai:
1. Išvardykite pagal laukų reikšmių porą
2. Sąrašas pagal žymos pavadinimą
3. Visi unikalūs žymos objektai

Panagrinėkime daugiau detalių ir supraskime skirtingus valdymo būdusir greitai gaukite prieigą, susietą tarp žymų ir laukų / reikšmių porų.

vienas. Sąrašas pagal laukų reikšmių porą: Tai padės jums peržiūrėti arba apibrėžti lauko / vertės poros žymių rinkinį. Galite pamatyti tokių porų sąrašą tam tikrai žymai.
Norėdami geriau suprasti, žiūrėkite toliau pateiktą ekrano kopiją:


2. Sąrašas pagal žymos pavadinimą: Tai padės jums peržiūrėti ir redaguoti laukų / reikšmių porų rinkinius. Konkrečios žymos laukų / reikšmių susiejimo sąrašą rasite nuėję į „sąrašą pagal žymos pavadinimą“ rodinį ir spustelėję žymos pavadinimą. Nukreipsite į žymos išsamios informacijos puslapį.
Pavyzdys: atidarykite 2 darbuotojo žymos išsamios informacijos puslapį.
Norėdami geriau suprasti, žiūrėkite toliau pateiktą ekrano kopiją:

vaizdinės studijos pamokos pradedantiesiems

3. Visi unikalūs žymos objektai: Tai padeda jums pateikti visus unikalius žymų pavadinimus ir laukų / reikšmių poras jūsų sistemoje. Galite ieškoti tam tikroje žymoje, kad greitai pamatytumėte visas laukų / reikšmių poras, su kuriomis ji susieta. Galite lengvai išlaikyti teises, įgalinti arba išjungti tam tikrą žymą.

Norėdami geriau suprasti, žiūrėkite toliau pateiktą ekrano kopiją:

Dabar yra 2 būdai ieškoti žymose:

  • Jei turime ieškoti žymoje, susietoje su reikšme bet kuriame lauke, galime naudoti:
    žymė =
    Ankstesniame pavyzdyje tai būtų: žymė = darbuotojas2
  • Jei ieškome žymos, susietos su reikšme nurodytame lauke, galime naudoti:
    žymė :: =
    Ankstesniame pavyzdyje tai būtų: tag :: emp_id = darbuotojas2

Šiame tinklaraštyje aš paaiškinau tris žinių objektus („Splunk“ įvykiai, įvykio tipas ir žymos), kurie padeda palengvinti paieškas. Kitame savo tinklaraštyje paaiškinsiu dar keletą žinių objektų, tokių kaip „Splunk“ laukai, kaip veikia lauko ištraukimas ir „Splunk“ paieškos. Tikiuosi, kad jums patiko skaityti mano antrąjį tinklaraštį apie žinių objektus.

Ar norite išmokti „Splunk“ ir įdiegti tai savo versle? Patikrinkite mūsų čia ateina instruktorių vedami tiesioginiai mokymai ir realių projektų patirtis.

Dideli Duomenys

Kategorijos

Popular Articles

Kaip įdiegti „addEventListener ()“ metodą „JavaScript“?

Realaus laiko didžiųjų duomenų programos įvairiuose domenuose

„Apache Spark“ su „Hadoop“ - kodėl tai svarbu?

Duomenų mokslo su „Cassandra“ svarba

Kaip geriausiai panaudoti HTML naršyklės žymą?

Išsamus vadovas, kaip išmokti duomenų mokslą

Pamoka - Nuolatinis stebėjimas su Nagios

Kas yra indeksas SQL?

Kas yra „Try išskyrus Python“ ir kaip tai veikia?

Trumpas „TreeMap“ įvadas į „Java“ su pavyzdžiais