📜  Splunk-数据提取

📅  最后修改于: 2020-11-29 08:05:40             🧑  作者: Mango


Splunk中的数据摄取是通过“添加数据”功能进行的,该功能是搜索和报告应用程序的一部分。登录后,Splunk界面的主屏幕显示“添加数据”图标,如下所示。

摄取1

单击此按钮后,将显示一个屏幕,以选择我们计划推送到Splunk进行分析的数据的来源和格式。

收集数据

我们可以从Splunk的官方网站获取数据进行分析。保存此文件并将其解压缩到本地驱动器中。打开文件夹后,您会找到三个具有不同格式的文件。它们是某些Web应用程序生成的日志数据。我们还可以收集Splunk提供的另一组数据,可从Splunk官方网页上获得。

我们将使用这两组数据来了解Splunk各种功能的工作原理。

上载资料

接下来,我们从上一段落中提到的mailsv文件夹中选择文件secure.log ,该文件夹已保存在本地系统中。选择文件后,我们使用右上角的绿色next按钮进入下一步。

摄取2

选择来源类型

Splunk具有内置功能,可以检测正在摄取的数据的类型。它还为用户提供了选择不同于Splunk选择的数据类型的选项。单击源类型下拉列表后,我们可以看到Splunk可以提取并启用搜索的各种数据类型。

在下面给出的当前示例中,我们选择默认的源类型。

摄取3

输入设定

在数据摄取的这一步骤中,我们配置从中摄取数据的主机名。以下是可供选择的选项,用于主机名-

定值

它是源数据所在的完整主机名。

正则表达式

要使用正则表达式提取主机名时。然后在“正则表达式”字段中输入要提取的主机的正则表达式。

路径段

如果要从数据源路径中的段中提取主机名,请在“段号”字段中输入段号。例如,如果到源的路径是/ var / log /,并且您要将第三段(主机服务器名称)作为主机值,请输入“ 3”。

接下来,我们选择要在输入数据上创建的索引类型以进行搜索。我们选择默认的索引策略。摘要索引仅通过聚合来创建数据摘要,并在历史索引用于存储搜索历史的同时在其上创建索引。下图清楚地描绘了它-

摄取4

查看设置

单击下一个按钮后,我们会看到我们选择的设置的摘要。我们对其进行检查,然后选择“下一步”完成数据的上传。

摄取5

完成加载后,将显示以下屏幕,其中显示了成功的数据提取以及我们可以对数据采取的进一步可能的操作。

摄取6