이전 블로그에서 저는 3 가지 지식 객체에 대해 이야기했습니다. Splunk Timechart, 데이터 모델 및 경고 데이터보고 및 시각화와 관련이 있습니다. 보고 싶으신 분들은 참고 해주세요. 여기 . 이 블로그에서는 Splunk 이벤트, 이벤트 유형 및 Splunk 태그에 대해 설명하겠습니다.
이러한 지식 개체는 데이터를보다 쉽게 검색하고보고 할 수 있도록 데이터를 강화하는 데 도움이됩니다.
이제 Splunk 이벤트를 시작하겠습니다.
Splunk 이벤트
이벤트는 개별 데이터를 나타냅니다. Splunk 서버로 전달 된 사용자 지정 데이터를 Splunk 이벤트라고합니다. 이 데이터는 모든 형식 (예 : 문자열, 숫자 또는 JSON 개체)이 될 수 있습니다.
Splunk에서 이벤트가 어떻게 보이는지 보여 드리겠습니다.
위의 스크린 샷에서 볼 수 있듯이 인덱싱 후 추가되는 기본 필드 (Host, Source, Sourcetype 및 Time)가 있습니다. 다음 기본 필드를 이해하겠습니다.
- 호스트 : 호스트는 데이터가 제공되는 시스템 또는 기기 IP 주소 이름입니다. 위의 스크린 샷에서내 기계호스트입니다.
- 소스 : 소스는 호스트 데이터의 출처입니다. 전체 경로 이름 또는 시스템 내의 파일 또는 디렉토리입니다.
예를 들면 :C : Splunkemp_data.txt - Sourcetype : Sourcetype은 로그 파일, XML, CSV 또는 스레드 필드에 관계없이 데이터 형식을 식별합니다. 이벤트의 데이터 구조를 포함합니다.
예를 들면 :employee_data - 인덱스 : 원시 데이터가 인덱싱되는 인덱스의 이름입니다. 아무 것도 지정하지 않으면 기본 색인이됩니다.
- 시간 : 이벤트가 발생한 시간을 표시하는 필드입니다. 모든 이벤트에 바코드가 붙어 있으며 변경할 수 없습니다. 프레젠테이션을 변경하기 위해 일정 기간 동안 이름을 바꾸거나 슬라이스 할 수 있습니다.
예를 들면 :3/4/16 7:53:51특정 이벤트의 타임 스탬프를 나타냅니다.
이제 Splunk 이벤트 유형이 유사한 이벤트를 그룹화하는 데 어떻게 도움이되는지 알아 보겠습니다.
Splunk 이벤트 유형
직원 이름이 포함 된 문자열이 있다고 가정하고직원 ID...에그리고 개별적으로 검색하는 대신 단일 검색 쿼리를 사용하여 문자열을 검색하려고합니다. 여기에서 Splunk 이벤트 유형이 도움이 될 수 있습니다. 이 두 개의 개별 Splunk 이벤트를 그룹화하고이 문자열을 단일 이벤트 유형 (Employee_Detail)으로 저장할 수 있습니다.
- Splunk 이벤트 유형은 공통 특성에 따라 이벤트를 분류하는 데 도움이되는 데이터 모음을 나타냅니다.
- 방대한 양의 데이터를 스캔하여 대시 보드 형태로 검색 결과를 반환하는 사용자 정의 필드입니다. 검색 결과를 기반으로 경고를 만들 수도 있습니다.
이벤트 유형을 정의하는 동안 파이프 문자 또는 하위 검색을 사용할 수 없습니다. 그러나 하나 이상의 태그를 이벤트 유형과 연결할 수 있습니다.이제 이러한 Splunk 이벤트 유형이 어떻게 생성되는지 알아 보겠습니다.
이벤트 유형을 만드는 방법에는 여러 가지가 있습니다.
- 검색 사용
- 빌드 이벤트 유형 유틸리티 사용
- Splunk Web 사용
- 구성 파일 (eventtypes.conf)
제대로 이해하기 위해 더 자세히 살펴 보겠습니다.
하나. 검색 사용 : 간단한 검색 쿼리를 작성하여 이벤트 유형을 만들 수 있습니다.
아래 단계를 따라 생성하십시오.
> 검색 문자열로 검색 실행
예 : index = emp_details emp_id = 3
> 다른 이름으로 저장을 클릭하고 이벤트 유형을 선택합니다.
더 나은 이해를 위해 아래 스크린 샷을 참조 할 수 있습니다.
2. 빌드 이벤트 유형 유틸리티 사용 : Build Event Type 유틸리티를 사용하면 검색에서 반환 된 Splunk 이벤트를 기반으로 이벤트 유형을 동적으로 생성 할 수 있습니다. 이 유틸리티를 사용하면 이벤트 유형에 특정 색상을 지정할 수도 있습니다.
검색 결과에서이 유틸리티를 찾을 수 있습니다. 아래 단계를 진행해 보겠습니다.
1 단계 : 드롭 다운 이벤트 메뉴 열기
2 단계 : 이벤트 타임 스탬프 옆에있는 아래쪽 화살표 찾기
3 단계 : 이벤트 유형 빌드를 클릭합니다.
위 스크린 샷에 표시된 '빌드 이벤트 유형'을 클릭하면 특정 검색을 기반으로 선택한 이벤트 세트가 반환됩니다.
삼. Splunk Web 사용 : 이벤트 유형을 만드는 가장 쉬운 방법입니다.
이를 위해 다음 단계를 수행 할 수 있습니다.
' 설정으로 바로 가기
»Ev로 이동이다nt 유형
»새로 만들기를 클릭합니다.
쉽게하기 위해 동일한 직원의 예를 들어 보겠습니다.
이 경우 검색어는 동일합니다.
index = emp_details emp_id = 3
더 잘 이해하려면 아래 스크린 샷을 참조하십시오.
네. 구성 파일 (eventtypes.conf) : $ SPLUNK_HOME / etc / system / local에서 eventtypes.conf 구성 파일을 직접 편집하여 이벤트 유형을 만들 수 있습니다.
예 : 'Employee_Detail'
더 잘 이해하려면 아래 스크린 샷을 참조하십시오.
지금 쯤이면 이벤트 유형이 생성되고 표시되는 방식을 이해했을 것입니다. 다음으로 Splunk 태그를 사용하는 방법과 태그가 데이터를 명확하게 만드는 방법에 대해 알아 보겠습니다.
PHP mysql_fetch_array
Splunk 태그
일반적으로 태그의 의미를 알고 있어야합니다. 우리 대부분은 Facebook의 태그 기능을 사용하여 게시물이나 사진에서 친구를 태그합니다. Splunk에서도 태깅은 비슷한 방식으로 작동합니다. 예를 들어 이해합시다. Splunk 인덱스에 대한 emp_id 필드가 있습니다. 이제 emp_id = 2 필드 / 값 쌍에 태그 (Employee2)를 제공하려고합니다. 이제 Employee2를 사용하여 검색 할 수있는 emp_id = 2에 대한 태그를 만들 수 있습니다.
- Splunk 태그는 특정 필드 및 값 조합에 이름을 할당하는 데 사용됩니다.
- 검색하는 동안 쌍으로 결과를 얻는 가장 간단한 방법입니다. 모든 이벤트 유형에는 빠른 결과를 얻기 위해 여러 태그가있을 수 있습니다.
- 검색에 도움이됩니다.보다 효율적으로 이벤트 데이터 그룹.
- 태그 지정은 특정 이벤트와 관련된 정보를 얻는 데 도움이되는 키 값 쌍에 대해 수행되는 반면 이벤트 유형은 관련된 모든 Splunk 이벤트의 정보를 제공합니다.
- 단일 값에 여러 태그를 할당 할 수도 있습니다.
오른쪽에있는 스크린 샷을보고 Splunk 태그를 만듭니다.
설정-> 태그로 이동하십시오.
이제 태그가 생성되는 방법을 이해했을 것입니다. 이제 Splunk 태그가 어떻게 관리되는지 이해하겠습니다. 설정 아래의 태그 페이지에는 세 가지보기가 있습니다.
1. 필드 값 쌍으로 나열
2. 태그 이름으로 나열
3. 모든 고유 태그 개체
더 자세히 살펴보고 다양한 관리 방법을 이해하겠습니다.태그와 필드 / 값 쌍간에 이루어진 연결에 빠르게 액세스 할 수 있습니다.
하나. 필드 값 쌍별로 나열 : 이는 필드 / 값 쌍에 대한 태그 세트를 검토하거나 정의하는 데 도움이됩니다. 특정 태그에 대한 이러한 페어링 목록을 볼 수 있습니다.
더 잘 이해하려면 아래 스크린 샷을 참조하십시오.
2. 태그 이름으로 나열 : 필드 / 값 쌍 세트를 검토하고 편집하는 데 도움이됩니다. '태그 이름 별 목록'보기로 이동 한 다음 태그 이름을 클릭하여 특정 태그에 대한 필드 / 값 쌍의 목록을 찾을 수 있습니다. 태그의 세부 정보 페이지로 이동합니다.
예 : 사원 2 태그의 상세 페이지를 엽니 다.
더 잘 이해하려면 아래 스크린 샷을 참조하십시오.
삼. 모든 고유 태그 개체 : 시스템에서 모든 고유 태그 이름과 필드 / 값 쌍을 제공하는 데 도움이됩니다. 특정 태그를 검색하여 연결된 모든 필드 / 값 쌍을 빠르게 볼 수 있습니다. 특정 태그를 활성화 또는 비활성화하기 위해 권한을 쉽게 유지할 수 있습니다.
더 잘 이해하려면 아래 스크린 샷을 참조하십시오.
이제 태그를 검색하는 두 가지 방법이 있습니다.
- 필드의 값과 관련된 태그를 검색해야하는 경우 다음을 사용할 수 있습니다.
tag =
위의 예에서는 다음과 같습니다. tag = employee2 - 지정된 필드의 값과 관련된 태그를 찾는 경우 다음을 사용할 수 있습니다.
태그 :: =
위의 예에서는 다음과 같습니다. tag :: emp_id = employee2
이 블로그에서는 검색을 더 쉽게 만드는 데 도움이되는 세 가지 지식 개체 (Splunk 이벤트, 이벤트 유형 및 태그)에 대해 설명했습니다. 다음 블로그에서는 Splunk 필드, 필드 추출 작동 방식 및 Splunk 조회와 같은 몇 가지 지식 개체에 대해 설명하겠습니다. 지식 객체에 대한 두 번째 블로그를 즐겁게 읽으 셨기를 바랍니다.
Splunk를 배우고 비즈니스에 구현하고 싶습니까? 우리를 확인하십시오 여기에는 강사 주도의 라이브 교육과 실제 프로젝트 경험이 함께 제공됩니다.
수의 계승 자바