以前のブログでは、3つのナレッジオブジェクトについて話しました。 Splunkタイムチャート、データモデル、アラート データの報告と視覚化に関連していました。ご覧になりたい方は参考にしてください ここに 。このブログでは、Splunkイベント、イベントタイプ、Splunkタグについて説明します。
これらのナレッジオブジェクトは、データの検索とレポート作成を容易にするために、データを充実させるのに役立ちます。
それでは、Splunkイベントから始めましょう。
Splunkイベント
イベントとは、個々のデータを指します。 Splunkサーバーに転送されたカスタムデータは、Splunkイベントと呼ばれます。このデータは、文字列、数値、JSONオブジェクトなどの任意の形式にすることができます。
Splunkでのイベントの様子をお見せしましょう。
上のスクリーンショットでわかるように、インデックス作成後に追加されるデフォルトのフィールド(ホスト、ソース、ソースタイプ、および時間)があります。これらのデフォルトフィールドを理解しましょう:
Linuxでクラスパスを設定する
- ホスト:ホストは、データの送信元となるマシンまたはアプライアンスのIPアドレス名です。上のスクリーンショットでは、マイマシンホストです。
- ソース:ソースは、ホストデータの取得元です。これは、マシン内のフルパス名またはファイルまたはディレクトリです。
例えば:C:Splunkemp_data.txt - ソースタイプ:ソースタイプは、データの形式(ログファイル、XML、CSV、スレッドフィールド)を識別します。イベントのデータ構造が含まれています。
例えば:employee_data - インデックス:生データにインデックスが付けられるインデックスの名前です。何も指定しない場合は、デフォルトのインデックスになります。
- 時間:イベントが生成された時間を表示するフィールドです。イベントごとにバーコードが付けられており、変更することはできません。表示を変更するために、名前を変更したり、一定期間スライスしたりできます。
例えば:3/4/16 7:53:51特定のイベントのタイムスタンプを表します。
それでは、Splunkイベントタイプが類似のイベントのグループ化にどのように役立つかを学びましょう。
Splunkイベントタイプ
従業員名を含む文字列があり、従業員IDに個別に検索するのではなく、単一の検索クエリを使用して文字列を検索する必要があります。 Splunkイベントタイプは、ここで役立ちます。これらはこれら2つの別々のSplunkイベントをグループ化し、この文字列を単一のイベントタイプ(Employee_Detail)として保存できます。
- Splunkイベントタイプは、共通の特性に基づいてイベントを分類するのに役立つデータのコレクションを指します。
- これは、大量のデータをスキャンし、ダッシュボードの形式で検索結果を返すユーザー定義のフィールドです。検索結果に基づいてアラートを作成することもできます。
イベントタイプの定義中は、パイプ文字またはサブ検索を使用できないことに注意してください。ただし、1つ以上のタグをイベントタイプに関連付けることができます。それでは、これらのSplunkイベントタイプがどのように作成されるかを学びましょう。
イベントタイプを作成する方法は複数あります。
- 検索の使用
- ビルドイベントタイプユーティリティの使用
- SplunkWebの使用
- 構成ファイル(eventtypes.conf)
それを正しく理解するために、さらに詳しく見ていきましょう。
1。 検索の使用: 簡単な検索クエリを作成することで、イベントタイプを作成できます。
以下の手順を実行して作成します。
>検索文字列を使用して検索を実行します
例:index = emp_details emp_id = 3
> [名前を付けて保存]をクリックして、[イベントタイプ]を選択します。
以下のスクリーンショットを参照して、理解を深めることができます。
2.2。 ビルドイベントタイプユーティリティの使用: Build Event Typeユーティリティを使用すると、検索によって返されたSplunkイベントに基づいてイベントタイプを動的に作成できます。このユーティリティを使用すると、イベントタイプに特定の色を割り当てることもできます。
このユーティリティは検索結果にあります。以下の手順を実行してみましょう。 
ステップ1:ドロップダウンイベントメニューを開きます
ステップ2:イベントのタイムスタンプの横にある下向き矢印を見つけます
ステップ3:[ビルドイベントタイプ]をクリックします
上のスクリーンショットに表示されている[BuildEvent Type]をクリックすると、特定の検索に基づいて選択した一連のイベントが返されます。
3.3。 Splunk Webの使用: これは、イベントタイプを作成する最も簡単な方法です。
このために、あなたはこれらのステップに従うことができます:
' 設定に移動
»Evに移動ですntタイプ
»[新規]をクリックします
簡単にするために、同じ従業員の例を取り上げましょう。
この場合、検索クエリは同じになります。
index = emp_details emp_id = 3
以下のスクリーンショットを参照して、理解を深めてください。
四。 構成ファイル(eventtypes.conf): $ SPLUNK_HOME / etc / system / localにあるeventtypes.conf構成ファイルを直接編集することで、イベントタイプを作成できます。
例:「Employee_Detail」
以下のスクリーンショットを参照して、理解を深めてください。
これで、イベントタイプがどのように作成および表示されるかを理解できたはずです。次に、Splunkタグを使用する方法と、それらがデータを明確にする方法を学びましょう。
Splunkタグ
タグが一般的に何を意味するかを知っておく必要があります。私たちのほとんどは、Facebookのタグ付け機能を使用して、投稿や写真の友達にタグを付けています。 Splunkでも、タグ付けは同じように機能します。例を挙げてこれを理解しましょう。 Splunkインデックス用のemp_idフィールドがあります。ここで、emp_id = 2フィールド/値のペアにタグ(Employee2)を提供します。 emp_id = 2のタグを作成して、Employee2を使用して検索できるようになりました。
- Splunkタグは、特定のフィールドと値の組み合わせに名前を割り当てるために使用されます。
- 検索中にペアで結果を取得するのが最も簡単な方法です。どのイベントタイプにも複数のタグを付けて、すばやく結果を得ることができます。
- 検索に役立ちますイベントデータのグループをより効率的に。
- タグ付けは、特定のイベントに関連する情報を取得するのに役立つキーと値のペアで行われますが、イベントタイプは、それに関連するすべてのSplunkイベントの情報を提供します。
- 1つの値に複数のタグを割り当てることもできます。
右側のスクリーンショットを見て、Splunkタグを作成します。
[設定]-> [タグ]に移動します
これで、タグがどのように作成されるかを理解できたかもしれません。 Splunkタグがどのように管理されているかを理解しましょう。タグページの[設定]には、次の3つのビューがあります。
1.フィールドと値のペアで一覧表示
2.タグ名でリストする
3.すべての一意のタグオブジェクト
詳細を調べて、さまざまな管理方法を理解しましょうタグとフィールド/値のペアの間で行われる関連付けにすばやくアクセスできます。
1。 フィールドと値のペアによるリスト: これは、フィールドと値のペアのタグのセットを確認または定義するのに役立ちます。特定のタグのそのようなペアリングのリストを見ることができます。
以下のスクリーンショットを参照して、理解を深めてください。
javaはvsがあります
2.2。 タグ名でリスト: フィールドと値のペアのセットを確認および編集するのに役立ちます。特定のタグのフィールドと値のペアのリストを見つけるには、[タグ名でリスト]ビューに移動し、タグ名をクリックします。これにより、タグの詳細ページに移動します。
例:従業員2タグの詳細ページを開きます。
以下のスクリーンショットを参照して、理解を深めてください。
3.3。 すべての一意のタグオブジェクト: これは、システム内のすべての一意のタグ名とフィールド/値の組み合わせを提供するのに役立ちます。特定のタグを検索して、タグが関連付けられているすべてのフィールドと値のペアをすばやく確認できます。特定のタグを有効または無効にするために、権限を簡単に維持できます。
以下のスクリーンショットを参照して、理解を深めてください。
現在、タグを検索する方法は2つあります。
- 任意のフィールドの値に関連付けられたタグを検索する必要がある場合は、次を使用できます。
tag =
上記の例では、次のようになります。tag= employee2 - 指定されたフィールドの値に関連付けられたタグを探している場合は、次を使用できます。
タグ:: =
上記の例では、次のようになります。tag:: emp_id = employee2
このブログでは、検索を容易にする3つのナレッジオブジェクト(Splunkイベント、イベントタイプ、タグ)について説明しました。次のブログでは、Splunkフィールド、フィールド抽出の仕組み、Splunkルックアップなどのナレッジオブジェクトについて説明します。知識オブジェクトに関する私の2番目のブログを楽しんでいただけたでしょうか。
Splunkを学び、ビジネスに実装したいですか?私たちをチェックしてください ここでは、インストラクター主導のライブトレーニングと実際のプロジェクトの経験が付属しています。