📅  最后修改于: 2020-11-29 08:09:17        🧑  作者: Mango

Splunk可以摄取不同类型的数据源并构建与关系表相似的表。这些称为表数据集或表。它们提供了简单的方法来分析和过滤数据以及查找等。这些表数据集还用于创建数据透视分析，我们将在本章中学习这些数据。创建数据集我们使用一个名为Splunk Datasets附件的Splunk附件来创建和管理数据集。可以从Splunk网站https://splunkbase.splunk.com/app/3245/#/de...

📅  最后修改于: 2020-11-29 08:09:42        🧑  作者: Mango

在搜索查询的结果中，有时我们得到的值可能无法清楚地传达该字段的含义。例如，我们可能会得到一个字段，其中列出了产品ID的值作为数字结果。这些数字不会让我们知道它是哪种产品。但是，如果我们列出产品名称以及产品ID，则可以为我们提供一份很好的报告，让我们了解搜索结果的含义。使用来自两个数据集的相等值，将一个字段的值链接到另一数据集中具有相同名称的字段的过程称为查找过程。好处是，我们可以从两个不同的数据集...

📅  最后修改于: 2020-11-29 08:10:11        🧑  作者: Mango

计划是设置触发器以自动运行报告的过程，无需用户干预。以下是安排报告的用途-通过在不同的时间间隔(每月，每周或每天)运行相同的报告，我们可以获得该特定时期的结果。由于报表在用户打开仪表板之前在后台完成运行，因此仪表板的性能有所提高。完成运行后，将通过电子邮件自动发送报告。创建时间表通过编辑报告的日程表功能来创建日程表。我们转到“编辑”按钮上的“编辑时间表”选项，如下图所示。单击编辑时间表按钮后，我们...

📅  最后修改于: 2020-11-29 08:10:36        🧑  作者: Mango

Splunk知识管理涉及为Splunk Enterprise实施维护知识对象。以下是知识管理的主要特征–确保知识对象由组织中的正确人群共享和使用。通过实现知识对象的命名约定并淘汰重复或过时的对象来规范事件数据。监督改善搜索和数据透视性能的策略(报告加速，数据模型加速，摘要索引，批处理模式搜索)。为Pivot用户构建数据模型。知识对象它是一个Splunk对象，用于获取有关您的数据的特定信息。创建知识...

📅  最后修改于: 2020-11-29 08:10:54        🧑  作者: Mango

当辅助查询或内部查询的结果是主查询或外部查询的输入时，子搜索是常规搜索的特殊情况。对于SQL语言，它类似于子查询的概念。在Splunk中，主查询应返回一个结果，该结果可以输入到外部查询或辅助查询中。当搜索包含子搜索时，将首先运行子搜索。子搜索必须在主搜索中括在方括号中。例我们考虑从Web日志中查找具有最大字节大小的文件的情况。但这可能每天都有所不同。然后，我们只想查找文件大小等于最大大小并且是星期...

📅  最后修改于: 2020-11-29 08:11:13        🧑  作者: Mango

搜索宏是搜索处理语言(SPL)的可重用块，您可以将其插入其他搜索中。当您要对数据集中的不同部分或值动态使用相同的搜索逻辑时，将使用它们。他们可以动态接受参数，搜索结果将根据新值进行更新。宏创作要创建搜索宏，请转到设置→高级搜索→搜索宏→添加新内容。这将显示以下屏幕，我们开始创建宏。宏观场景我们想从web_applications日志中显示有关文件大小的各种统计信息。统计信息是使用日志中的字节字段显...

📅  最后修改于: 2020-11-29 08:11:42        🧑  作者: Mango

在Splunk搜索中，我们可以根据特定条件从数据集中设计自己的事件。例如，我们仅搜索http状态代码为200的事件。此事件现在可以另存为事件类型，用户定义的名称为status200，并将该事件名用作以后的搜索。简而言之，事件类型表示一种搜索，它返回特定类型的事件或有用的事件集合。搜索可以返回的每个事件都会获得与该事件类型的关联。创建事件类型确定搜索条件后，有两种方法可以创建事件类型。一种是运行搜索...

📅  最后修改于: 2020-11-29 08:12:11        🧑  作者: Mango

Splunk具有出色的可视化功能，可以显示各种图表。这些图表是根据搜索查询的结果创建的，其中使用了适当的函数来提供数值输出。例如，如果我们从名为web_applications的数据集中寻找字节的平均文件大小，则可以在统计信息标签中看到结果，如下所示-创建图表为了创建基本图表，我们首先确保该数据在统计信息标签中可见，如上所示。然后，单击“可视化”选项卡以获取相应的图表。上述数据默认情况下会生成一个...

📅  最后修改于: 2020-11-29 08:12:49        🧑  作者: Mango

很多时候，我们需要将一个图表放在另一个图表上，以比较或查看两个图表的趋势。 Splunk通过其可视化选项卡中可用的图表覆盖功能来支持此功能。要创建这样的图表，我们首先需要制作一个包含两个变量的图表，然后添加一个可以创建覆盖图的第三个变量。图表方案继续上一章中的示例，我们找出了不同工作日文件的字节大小，然后还添加了这些天的平均字节大小。下图显示了图表，该图表显示了一周中不同日期文件的字节大小与平均字...

📅  最后修改于: 2020-11-29 08:13:11        🧑  作者: Mango

迷你图是一些统计信息的小表示，没有显示轴。它通常显示为带有凹凸的线，仅表示一段时间内特定数量的变化。 Splunk具有内置函数，可根据搜索到的事件创建迷你图。它是图表创建函数的一部分。选择字段我们需要选择将在创建迷你图时使用的字段和搜索公式。下图显示了web_application主机中某些文件的平均字节大小值。创建迷你图要根据上述统计信息创建迷你图，我们将迷你图函数添加到搜索查询中，如下图所示。...

📅  最后修改于: 2020-11-29 08:13:36        🧑  作者: Mango

索引是一种机制，它通过为要搜索的数据段提供数字地址来加快搜索过程。 Splunk索引类似于数据库中索引的概念。 Splunk的安装将创建三个默认索引，如下所示。主-这是所有处理过的数据存储的Splunk的默认索引。内部-此索引是Splunk的内部日志和处理指标的存储位置。审核-此索引包含与文件系统更改监视器，审核和所有用户历史记录有关的事件。Splunk索引器创建并维护索引。当您将数据添加到Spl...

📅  最后修改于: 2020-11-29 08:13:58        🧑  作者: Mango

很多时候，我们将需要对Splunk事件中已经可用的字段进行一些计算。我们还希望将这些计算的结果存储为新字段，以供以后进行各种搜索参考。通过使用Splunk搜索中计算字段的概念，可以做到这一点。最简单的示例是显示工作日的前三个字符，而不是完整的日期名称。我们需要应用某些Splunk函数来实现对该字段的操作，并将新结果存储在新的字段名称下。例Web_application日志文件有两个字段，分别为by...

📅  最后修改于: 2020-11-29 08:14:16        🧑  作者: Mango

标记用于将名称分配给特定的字段和值组合。这些字段可以是事件类型，主机，源或源类型等。您还可以使用标签将一组字段值组合在一起，以便可以使用一个命令搜索它们。例如，您可以将星期一生成的所有不同文件标记为名为mon_files的标记。为了找到要标记的字段-值对，我们需要扩展事件并找到要考虑的字段。下图显示了我们如何扩展事件以查看字段-创建标签我们可以通过使用“编辑标签”选项将标签值添加到字段-值对中来创...

📅  最后修改于: 2020-11-29 08:14:43        🧑  作者: Mango

Splunk应用程序是Splunk功能的扩展，它具有自己的内置UI上下文来满足特定需求。 Splunk应用程序由不同的Splunk知识对象(查找，标签，事件类型，保存的搜索等)组成。应用程序本身可以利用或利用其他应用程序或附加组件。 Splunk可以同时运行任意数量的应用程序。登录Splunk时，您会进入一个通常为Splunk Search应用程序的应用程序。因此，几乎每次您都在Splunk界面中...

📅  最后修改于: 2020-11-29 08:15:08        🧑  作者: Mango

使用delete命令可以从Splunk中删除数据。我们首先创建搜索条件以获取要标记为删除的事件。一旦搜索条件可接受，我们将在命令末尾添加delete子句，以从Splunk中删除这些事件。删除后，甚至没有管理员权限的用户也无法在Splunk中查看此数据。数据删除是不可逆的。如果您仍然希望将删除的数据返回到Splunk中，则应该随身携带原始源数据副本，该副本可用于为Splunk中的数据重新编制索引。这...