📅  最后修改于: 2020-11-29 08:05:58             🧑  作者: Mango
Splunk的所有传入数据首先由其内置数据处理单元进行判断,并分类为某些数据类型和类别。例如,如果它是来自apache Web服务器的日志,则Splunk能够识别该日志并从读取的数据中创建适当的字段。
Splunk中的此功能称为源类型检测,它使用称为“预训练”源类型的内置源类型来实现此目的。
这使分析变得更容易,因为用户不必手动对数据进行分类,也不必将任何数据类型分配给传入数据的字段。
通过“添加数据”功能上传文件,然后选择“源类型”下拉列表,可以查看Splunk中受支持的源类型。在下图中,我们上传了CSV文件,然后检查了所有可用选项。
即使在这些类别中,我们也可以进一步单击以查看受支持的所有子类别。因此,当您选择数据库类别时,您可以找到Splunk可以识别的不同类型的数据库及其支持的文件。
下表列出了Splunk识别的一些重要的预训练源类型-
Source Type Name | Nature |
---|---|
access_combined | NCSA combined format http web server logs (can be generated by apache or other web servers) |
access_combined_wcookie | NCSA combined format http web server logs (can be generated by apache or other web servers), with cookie field added at end |
apache_error | Standard Apache web server error log |
linux_messages_syslog | Standard linux syslog (/var/log/messages on most platforms) |
log4j | Log4j standard output produced by any J2EE server using log4j |
mysqld_error | Standard mysql error log |