Splunk 지식 개체 : Splunk 이벤트, 이벤트 유형 및 태그



이 Splunk 자습서 블로그에서는 Splunk 이벤트, 이벤트 유형 및 Splunk 태그와 같은 다양한 지식 개체에 대해 알아 봅니다.

이전 블로그에서 저는 3 가지 지식 객체에 대해 이야기했습니다. Splunk Timechart, 데이터 모델 및 경고 데이터보고 및 시각화와 관련이 있습니다. 보고 싶으신 분들은 참고 해주세요. 여기 . 이 블로그에서는 Splunk 이벤트, 이벤트 유형 및 Splunk 태그에 대해 설명하겠습니다.
이러한 지식 개체는 데이터를보다 쉽게 ​​검색하고보고 할 수 있도록 데이터를 강화하는 데 도움이됩니다.

이제 Splunk 이벤트를 시작하겠습니다.

Splunk 이벤트

이벤트는 개별 데이터를 나타냅니다. Splunk 서버로 전달 된 사용자 지정 데이터를 Splunk 이벤트라고합니다. 이 데이터는 모든 형식 (예 : 문자열, 숫자 또는 JSON 개체)이 될 수 있습니다.





Splunk에서 이벤트가 어떻게 보이는지 보여 드리겠습니다.

splunk-events-edureka
위의 스크린 샷에서 볼 수 있듯이 인덱싱 후 추가되는 기본 필드 (Host, Source, Sourcetype 및 Time)가 있습니다. 다음 기본 필드를 이해하겠습니다.



  1. 호스트 : 호스트는 데이터가 제공되는 시스템 또는 기기 IP 주소 이름입니다. 위의 스크린 샷에서내 기계호스트입니다.
  2. 소스 : 소스는 호스트 데이터의 출처입니다. 전체 경로 이름 또는 시스템 내의 파일 또는 디렉토리입니다.
    예를 들면 :C : Splunkemp_data.txt
  3. Sourcetype : Sourcetype은 로그 파일, XML, CSV 또는 스레드 필드에 관계없이 데이터 형식을 식별합니다. 이벤트의 데이터 구조를 포함합니다.
    예를 들면 :employee_data
  4. 인덱스 : 원시 데이터가 인덱싱되는 인덱스의 이름입니다. 아무 것도 지정하지 않으면 기본 색인이됩니다.
  5. 시간 : 이벤트가 발생한 시간을 표시하는 필드입니다. 모든 이벤트에 바코드가 붙어 있으며 변경할 수 없습니다. 프레젠테이션을 변경하기 위해 일정 기간 동안 이름을 바꾸거나 슬라이스 할 수 있습니다.
    예를 들면 :3/4/16 7:53:51특정 이벤트의 타임 스탬프를 나타냅니다.

이제 Splunk 이벤트 유형이 유사한 이벤트를 그룹화하는 데 어떻게 도움이되는지 알아 보겠습니다.

Splunk 이벤트 유형

직원 이름이 포함 된 문자열이 있다고 가정하고직원 ID...에그리고 개별적으로 검색하는 대신 단일 검색 쿼리를 사용하여 문자열을 검색하려고합니다. 여기에서 Splunk 이벤트 유형이 도움이 될 수 있습니다. 이 두 개의 개별 Splunk 이벤트를 그룹화하고이 문자열을 단일 이벤트 유형 (Employee_Detail)으로 저장할 수 있습니다.

  • Splunk 이벤트 유형은 공통 특성에 따라 이벤트를 분류하는 데 도움이되는 데이터 모음을 나타냅니다.
  • 방대한 양의 데이터를 스캔하여 대시 보드 형태로 검색 결과를 반환하는 사용자 정의 필드입니다. 검색 결과를 기반으로 경고를 만들 수도 있습니다.

이벤트 유형을 정의하는 동안 파이프 문자 또는 하위 검색을 사용할 수 없습니다. 그러나 하나 이상의 태그를 이벤트 유형과 연결할 수 있습니다.이제 이러한 Splunk 이벤트 유형이 어떻게 생성되는지 알아 보겠습니다.
이벤트 유형을 만드는 방법에는 여러 가지가 있습니다.



  1. 검색 사용
  2. 빌드 이벤트 유형 유틸리티 사용
  3. Splunk Web 사용
  4. 구성 파일 (eventtypes.conf)

제대로 이해하기 위해 더 자세히 살펴 보겠습니다.

하나. 검색 사용 : 간단한 검색 쿼리를 작성하여 이벤트 유형을 만들 수 있습니다.

아래 단계를 따라 생성하십시오.
> 검색 문자열로 검색 실행
예 : index = emp_details emp_id = 3
> 다른 이름으로 저장을 클릭하고 이벤트 유형을 선택합니다.
더 나은 이해를 위해 아래 스크린 샷을 참조 할 수 있습니다.


2. 빌드 이벤트 유형 유틸리티 사용 : Build Event Type 유틸리티를 사용하면 검색에서 반환 된 Splunk 이벤트를 기반으로 이벤트 유형을 동적으로 생성 할 수 있습니다. 이 유틸리티를 사용하면 이벤트 유형에 특정 색상을 지정할 수도 있습니다.


검색 결과에서이 유틸리티를 찾을 수 있습니다. 아래 단계를 진행해 보겠습니다.
Splunk-event-actions-splunk-events-Edureka
1 단계 : 드롭 다운 이벤트 메뉴 열기

2 단계 : 이벤트 타임 스탬프 옆에있는 아래쪽 화살표 찾기
3 단계 : 이벤트 유형 빌드를 클릭합니다.
위 스크린 샷에 표시된 '빌드 이벤트 유형'을 클릭하면 특정 검색을 기반으로 선택한 이벤트 세트가 반환됩니다.

삼. Splunk Web 사용 : 이벤트 유형을 만드는 가장 쉬운 방법입니다.
이를 위해 다음 단계를 수행 할 수 있습니다.
' 설정으로 바로 가기
»Ev로 이동
이다nt 유형
»새로 만들기를 클릭합니다.

쉽게하기 위해 동일한 직원의 예를 들어 보겠습니다.
이 경우 검색어는 동일합니다.
index = emp_details emp_id = 3

더 잘 이해하려면 아래 스크린 샷을 참조하십시오.

네. 구성 파일 (eventtypes.conf) : $ SPLUNK_HOME / etc / system / local에서 eventtypes.conf 구성 파일을 직접 편집하여 이벤트 유형을 만들 수 있습니다.
예 : 'Employee_Detail'
더 잘 이해하려면 아래 스크린 샷을 참조하십시오.

지금 쯤이면 이벤트 유형이 생성되고 표시되는 방식을 이해했을 것입니다. 다음으로 Splunk 태그를 사용하는 방법과 태그가 데이터를 명확하게 만드는 방법에 대해 알아 보겠습니다.

PHP mysql_fetch_array


Splunk 태그

일반적으로 태그의 의미를 알고 있어야합니다. 우리 대부분은 Facebook의 태그 기능을 사용하여 게시물이나 사진에서 친구를 태그합니다. Splunk에서도 태깅은 비슷한 방식으로 작동합니다. 예를 들어 이해합시다. Splunk 인덱스에 대한 emp_id 필드가 있습니다. 이제 emp_id = 2 필드 / 값 쌍에 태그 (Employee2)를 제공하려고합니다. 이제 Employee2를 사용하여 검색 할 수있는 emp_id = 2에 대한 태그를 만들 수 있습니다.

  • Splunk 태그는 특정 필드 및 값 조합에 이름을 할당하는 데 사용됩니다.
  • 검색하는 동안 쌍으로 결과를 얻는 가장 간단한 방법입니다. 모든 이벤트 유형에는 빠른 결과를 얻기 위해 여러 태그가있을 수 있습니다.
  • 검색에 도움이됩니다.보다 효율적으로 이벤트 데이터 그룹.
  • 태그 지정은 특정 이벤트와 관련된 정보를 얻는 데 도움이되는 키 값 쌍에 대해 수행되는 반면 이벤트 유형은 관련된 모든 Splunk 이벤트의 정보를 제공합니다.
  • 단일 값에 여러 태그를 할당 할 수도 있습니다.

오른쪽에있는 스크린 샷을보고 Splunk 태그를 만듭니다.

설정-> 태그로 이동하십시오.

이제 태그가 생성되는 방법을 이해했을 것입니다. 이제 Splunk 태그가 어떻게 관리되는지 이해하겠습니다. 설정 아래의 태그 페이지에는 세 가지보기가 있습니다.
1. 필드 값 쌍으로 나열

2. 태그 이름으로 나열
3. 모든 고유 태그 개체

더 자세히 살펴보고 다양한 관리 방법을 이해하겠습니다.태그와 필드 / 값 쌍간에 이루어진 연결에 빠르게 액세스 할 수 있습니다.

하나. 필드 값 쌍별로 나열 : 이는 필드 / 값 쌍에 대한 태그 세트를 검토하거나 정의하는 데 도움이됩니다. 특정 태그에 대한 이러한 페어링 목록을 볼 수 있습니다.
더 잘 이해하려면 아래 스크린 샷을 참조하십시오.


2. 태그 이름으로 나열 : 필드 / 값 쌍 세트를 검토하고 편집하는 데 도움이됩니다. '태그 이름 별 목록'보기로 이동 한 다음 태그 이름을 클릭하여 특정 태그에 대한 필드 / 값 쌍의 목록을 찾을 수 있습니다. 태그의 세부 정보 페이지로 이동합니다.
예 : 사원 2 태그의 상세 페이지를 엽니 다.
더 잘 이해하려면 아래 스크린 샷을 참조하십시오.

삼. 모든 고유 태그 개체 : 시스템에서 모든 고유 태그 이름과 필드 / 값 쌍을 제공하는 데 도움이됩니다. 특정 태그를 검색하여 연결된 모든 필드 / 값 쌍을 빠르게 볼 수 있습니다. 특정 태그를 활성화 또는 비활성화하기 위해 권한을 쉽게 유지할 수 있습니다.

더 잘 이해하려면 아래 스크린 샷을 참조하십시오.

이제 태그를 검색하는 두 가지 방법이 있습니다.

  • 필드의 값과 관련된 태그를 검색해야하는 경우 다음을 사용할 수 있습니다.
    tag =
    위의 예에서는 다음과 같습니다. tag = employee2
  • 지정된 필드의 값과 관련된 태그를 찾는 경우 다음을 사용할 수 있습니다.
    태그 :: =
    위의 예에서는 다음과 같습니다. tag :: emp_id = employee2

이 블로그에서는 검색을 더 쉽게 만드는 데 도움이되는 세 가지 지식 개체 (Splunk 이벤트, 이벤트 유형 및 태그)에 대해 설명했습니다. 다음 블로그에서는 Splunk 필드, 필드 추출 작동 방식 및 Splunk 조회와 같은 몇 가지 지식 개체에 대해 설명하겠습니다. 지식 객체에 대한 두 번째 블로그를 즐겁게 읽으 셨기를 바랍니다.

Splunk를 배우고 비즈니스에 구현하고 싶습니까? 우리를 확인하십시오 여기에는 강사 주도의 라이브 교육과 실제 프로젝트 경험이 함께 제공됩니다.

수의 계승 자바