📜  Splunk-源类型

📅  最后修改于: 2020-11-29 08:05:58             🧑  作者: Mango


Splunk的所有传入数据首先由其内置数据处理单元进行判断,并分类为某些数据类型和类别。例如,如果它是来自apache Web服务器的日志,则Splunk能够识别该日志并从读取的数据中创建适当的字段。

Splunk中的此功能称为源类型检测,它使用称为“预训练”源类型的内置源类型来实现此目的。

这使分析变得更容易,因为用户不必手动对数据进行分类,也不必将任何数据类型分配给传入数据的字段。

支持的源类型

通过“添加数据”功能上传文件,然后选择“源类型”下拉列表,可以查看Splunk中受支持的源类型。在下图中,我们上传了CSV文件,然后检查了所有可用选项。

源类型1

来源类型子类别

即使在这些类别中,我们也可以进一步单击以查看受支持的所有子类别。因此,当您选择数据库类别时,您可以找到Splunk可以识别的不同类型的数据库及其支持的文件。

源类型2

预训练源类型

下表列出了Splunk识别的一些重要的预训练源类型-

Source Type Name Nature
access_combined NCSA combined format http web server logs (can be generated by apache or other web servers)
access_combined_wcookie NCSA combined format http web server logs (can be generated by apache or other web servers), with cookie field added at end
apache_error Standard Apache web server error log
linux_messages_syslog Standard linux syslog (/var/log/messages on most platforms)
log4j Log4j standard output produced by any J2EE server using log4j
mysqld_error Standard mysql error log