在Splunk搜索中，我们可以根据特定条件从数据集中设计自己的事件。例如，我们仅搜索http状态代码为200的事件。此事件现在可以另存为事件类型，用户定义的名称为status200，并将该事件名用作以后的搜索。

简而言之，事件类型表示一种搜索，它返回特定类型的事件或有用的事件集合。搜索可以返回的每个事件都会获得与该事件类型的关联。

创建事件类型

确定搜索条件后，有两种方法可以创建事件类型。一种是运行搜索，然后将其另存为事件类型。另一种是从设置选项卡添加新的事件类型。在本节中，我们将介绍创建它的两种方法。

使用搜寻

考虑搜索具有成功http状态值为200且事件类型在星期三运行的条件的事件。运行搜索查询后，我们可以选择另存为选项将查询另存为事件类型。

下一个屏幕提示输入事件类型的名称，选择一个可选的标签，然后选择一种颜色来突出显示事件。如果两个或更多事件类型与同一事件匹配，则优先级选项决定将首先显示哪种事件类型。

最后，通过转到“设置”→“事件类型”选项，可以看到事件类型已创建。

使用新事件类型

创建新事件类型的另一个选项是使用设置→事件类型选项，如下所示，我们可以在其中添加新的事件类型-

单击“新事件类型”按钮后，将显示以下屏幕，以添加与上一节相同的查询。

查看事件类型

要查看上面刚刚创建的事件，我们可以在搜索框中输入以下搜索查询，然后可以看到结果事件以及为事件类型选择的颜色。

使用事件类型

我们可以将事件类型与其他查询一起使用。在这里，我们从“事件类型”中指定一些部分条件，结果是事件的混合，显示了结果中的彩色和非彩色事件。