У свом претходном блогу говорио сам о 3 објекта знања: Графикон времена Сплунк, модел података и упозорење који су се односили на извештавање и визуализацију података. У случају да желите да погледате, можете се обратити овде . На овом блогу ћу објаснити Сплунк догађаје, типове догађаја и Сплунк ознаке.
Ови објекти знања помажу у обогаћивању ваших података како би им олакшали претраживање и извештавање.
Па, кренимо са Сплунк догађајима.
Сплунк Евентс
Догађај се односи на било који појединачни податак. Прилагођени подаци који су прослеђени Сплунк серверу називају се Сплунк догађаји. Ови подаци могу бити у било ком формату, на пример: низ, број или ЈСОН објекат.
Да вам покажем како догађаји изгледају у Сплунку:
Као што видите на горњем снимку екрана, постоје подразумевана поља (Хост, Соурце, Соурцетипе и Тиме) која се додају након индексирања. Хајде да разумемо ова подразумевана поља:
- Хост: Хост је назив ИП адресе уређаја или уређаја одакле долазе подаци. На горњем снимку екрана,Ми-Мацхинеје домаћин.
- Извор: Извор је одакле потичу подаци о хосту. То је пуни назив путање или датотека или директоријум унутар машине.
На пример:Ц: Сплункемп_дата.ткт - Изворни тип: Изворни облик идентификује формат података, било да се ради о датотеци дневника, КСМЛ-у, ЦСВ-у или пољу нити. Садржи структуру података догађаја.
На пример:дата_дата - Индекс: То је назив индекса где се индексирају сирови подаци. Ако ништа не наведете, то прелази у подразумевани индекс.
- Време: То је поље које приказује време у којем је догађај генерисан. Кодиран је код сваког догађаја и не може се променити. Можете га преименовати или исећи на одређено време како бисте променили његову презентацију.
На пример:3/4/16 7:53:51представља временску ознаку одређеног догађаја.
Сада ћемо сазнати како типови Сплунк догађаја помажу у групирању сличних догађаја.
Типови догађаја Сплунк
Претпоставимо да имате низ који садржи име запосленог иБрој запосленогдои желите да претражите низ помоћу једног упита за претрагу, а не да их тражите појединачно. Врсте догађаја Сплунк могу вам овде помоћи. Они групишу ова два одвојена Сплунк догађаја и можете сачувати овај низ као један тип догађаја (Емплоиее_Детаил).
- Тип догађаја Сплунк односи се на збирку података која помаже у категоризацији догађаја на основу заједничких карактеристика.
- То је корисничко дефинисано поље које скенира огромну количину података и враћа резултате претраживања у облику контролних плоча. Такође можете да креирате упозорења на основу резултата претраге.
Имајте на уму да не можете користити знак луке или под претрагу док дефинишете тип догађаја. Али, можете придружити једну или више ознака типу догађаја.Сада, научимо како се креирају ови типови Сплунк догађаја.
Постоји више начина за стварање типа догађаја:
- Коришћење претраживача
- Коришћење услужног програма врсте догађаја догађаја
- Коришћење Сплунк Веб-а
- Датотеке за конфигурацију (евенттипес.цонф)
Уђимо у детаље да бисмо то правилно разумели:
један. Коришћење претраге: Тип догађаја можемо створити писањем једноставног упита за претрагу.
Прођите кроз кораке у наставку да бисте га креирали:
> Покрените претрагу помоћу низа за претрагу
На пример: индек = емп_детаилс емп_ид = 3
> Кликните Сачувај као и одаберите Тип догађаја.
Да бисте боље разумели, можете погледати снимак екрана у наставку:
разлика између кувара и лутке
2. Коришћење услужног програма типа догађаја догађаја: Услужни програм Буилд Евент Типе омогућава вам динамичко креирање типова догађаја на основу Сплунк догађаја враћених претрагама. Овај услужни програм такође вам омогућава да доделите одређене боје врстама догађаја.
Овај услужни програм можете пронаћи у резултатима претраге. Прођимо кроз следеће кораке: 
1. корак: Отворите падајући мени догађаја
Корак 2: Пронађите стрелицу надоле поред временске ознаке догађаја
Корак 3: Кликните Изгради тип догађаја
Једном када кликнете на „Буилд Евент Типе“ приказан на горњој снимци екрана, вратиће изабрани скуп догађаја на основу одређене претраге.
3 Коришћење Сплунк Веб-а: Ово је најлакши начин за стварање типа догађаја.
За ово можете следити ове кораке:
' Идите на Подешавања
»Идите до Евјент Типови
»Кликните Ново
Да узмем исти пример запосленог да то олакшам.
Упит за претрагу би у овом случају био исти:
индек = емп_детаилс емп_ид = 3
Погледајте доњи снимак екрана да бисте стекли боље разумевање:
Четири. Датотеке за конфигурацију (евенттипес.цонф): Типове догађаја можете креирати директним уређивањем конфигурационе датотеке евенттипес.цонф у $ СПЛУНК_ХОМЕ / етц / систем / лоцал
На пример: „Емплоиее_Детаил“
Погледајте доњи снимак екрана да бисте стекли боље разумевање:
како изаћи из Јава програма
До сада бисте већ разумели како се типови догађаја креирају и приказују. Даље, научимо како Сплунк ознаке могу да се користе и како уносе јасноћу у ваше податке.
Сплунк Тагс
Морате бити свесни шта ознака уопште значи. Већина нас користи функцију означавања на Фацебоок-у за означавање пријатеља на посту или фотографији. Чак и у Сплунку, означавање делује на сличан начин. Да разумемо ово на примеру. Имамо поље емп_ид за Сплунк индекс. Сада желите да наведете ознаку (Емплоиее2) за пар емп_ид = 2 поље / вредност. Можемо створити ознаку за емп_ид = 2 која се сада може претраживати помоћу Емплоиее2.
- Сплунк ознаке се користе за додељивање имена одређеним пољима и комбинацијама вредности.
- То је најједноставнија метода за добијање резултата у пару током претраживања. Било који тип догађаја може имати више ознака за брзе резултате.
- Помаже у претраживањугрупе података о догађајима ефикасније.
- Означавање се врши на пару вредности кључ који помаже да се добију информације повезане са одређеним догађајем, док тип догађаја пружа информације о свим Сплунк догађајима повезаним са њим.
- Такође можете доделити више ознака једној вредности.
Погледајте снимак екрана на десној страни да бисте креирали Сплунк ознаку.
Идите на Подешавања -> Ознаке
Сад сте можда разумели како се креира ознака. Хајде да сада разумемо како се управља Сплунк ознакама. На страници ознаке у оквиру Подешавања постоје три приказа:
1. Листа према пару вредности поља
2. Листа према називу ознаке
3. Сви јединствени објекти ознака
Уђимо у више детаља и разумемо различите начине управљањаи добити брз приступ асоцијацијама између тагова и парова поља / вредности.
један. Листа према пару вредности поља: Ово вам помаже да прегледате или дефинишете скуп ознака за пар поље / вредност. Можете видети листу таквих упаривања за одређену ознаку.
Погледајте доњи снимак екрана да бисте стекли боље разумевање:
2. Листа према називу ознаке: Помаже вам да прегледате и уредите скупове парова поља / вредности. Списак упаривања поља / вредности за одређену ознаку можете пронаћи тако што ћете отићи у приказ „листа по називу ознаке“, а затим кликнути на име ознаке. То вас води на страницу детаља ознаке.
Пример: Отворите страницу са детаљима ознаке запосленог 2.
Погледајте доњи снимак екрана да бисте стекли боље разумевање:
3 Сви јединствени објекти ознака: Помаже вам да наведете сва јединствена имена ознака и упаривања поља / вредности у вашем систему. Можете претражити одређену ознаку да бисте брзо видели сва парова поља / вредности са којима је повезана. Можете лако одржавати дозволе да бисте омогућили или онемогућили одређену ознаку.
Погледајте доњи снимак екрана да бисте стекли боље разумевање:
Сада постоје 2 начина за претрагу ознака:
- Ако треба да претражимо ознаку повезану са вредношћу у било ком пољу, можемо користити:
таг =
У горњем примеру то би било: таг = запосленик2 - Ако у одређеном пољу тражимо ознаку повезану са вредношћу, можемо користити:
таг :: =
У горњем примеру то би било: таг :: емп_ид = воркер2
На овом блогу сам објаснио три објекта знања (Сплунк догађаји, тип догађаја и ознаке) који помажу да вам олакшам претрагу. У следећем блогу ћу објаснити још неке објекте знања попут Сплунк поља, како функционише екстракција поља и Сплунк претраживања. Надам се да сте уживали читајући мој други блог о објектима знања.
плитка копија и дубока копија у јави
Да ли желите да научите Сплунк и примените га у свом послу? Погледајте наш овде то долази са обуком уживо коју воде инструктори и искуством у стварном животу.