logo

كائنات المعرفة Splunk: أحداث Splunk وأنواع الأحداث والعلامات

رئيسي البيانات الكبيرة كائنات المعرفة Splunk: أحداث Splunk وأنواع الأحداث والعلامات



في مدونة Splunk التعليمية هذه ، ستتعلم كائنات المعرفة المختلفة مثل أحداث Splunk وأنواع الأحداث و Splunk Tags.

في مدونتي السابقة ، تحدثت عن 3 كائنات معرفية: مخطط زمني Splunk ، نموذج البيانات والتنبيه التي كانت مرتبطة بالإبلاغ عن البيانات وتصورها. في حال كنت تريد إلقاء نظرة ، يمكنك الرجوع هنا . في هذه المدونة ، سأشرح أحداث Splunk وأنواع الأحداث وعلامات Splunk.
تساعد كائنات المعرفة هذه في إثراء بياناتك من أجل تسهيل البحث عنها وإعداد التقارير عنها.

لذا ، فلنبدأ مع أحداث Splunk.

أحداث Splunk

يشير الحدث إلى أي جزء فردي من البيانات. تسمى البيانات المخصصة التي تم إعادة توجيهها إلى خادم Splunk أحداث Splunk. يمكن أن تكون هذه البيانات بأي تنسيق ، على سبيل المثال: سلسلة أو رقم أو كائن JSON.





دعني أوضح لك كيف تبدو الأحداث في Splunk:

جافا نسخة ضحلة مقابل نسخة عميقة

splunk-events-edureka
كما ترى في لقطة الشاشة أعلاه ، هناك حقول افتراضية (المضيف والمصدر ونوع المصدر والوقت) تتم إضافتها بعد الفهرسة. دعنا نفهم هذه الحقول الافتراضية:



  1. المضيف: المضيف هو اسم عنوان IP لجهاز أو جهاز من حيث تأتي البيانات. في لقطة الشاشة أعلاه ،جهازيهو المضيف.
  2. المصدر: المصدر هو مصدر بيانات المضيف. إنه اسم المسار الكامل أو ملف أو دليل داخل جهاز.
    فمثلا:ج: Splunkemp_data.txt
  3. Sourcetype: Sourcetype يحدد تنسيق البيانات ، سواء كان ملف سجل أو XML أو CSV أو حقل موضوع. يحتوي على بنية بيانات الحدث.
    فمثلا:بيانات الموظف
  4. الفهرس: هو اسم الفهرس حيث يتم فهرسة البيانات الأولية. إذا لم تحدد أي شيء ، فإنه ينتقل إلى فهرس افتراضي.
  5. الوقت: هو حقل يعرض الوقت الذي تم فيه إنشاء الحدث. يتم ترميزه مع كل حدث ولا يمكن تغييره. يمكنك إعادة تسميته أو تقسيمه إلى شرائح لفترة من الوقت لتغيير طريقة عرضه.
    فمثلا:3/4/16 7:53:51يمثل الطابع الزمني لحدث معين.

الآن ، دعنا نتعلم كيف تساعدك أنواع أحداث Splunk في تجميع الأحداث المماثلة.

أنواع حدث Splunk

افترض أن لديك سلسلة تحتوي على اسم الموظف وهوية الموظفإلىوتريد البحث في السلسلة باستخدام استعلام بحث واحد بدلاً من البحث عنها بشكل فردي. يمكن أن تساعدك أنواع حدث Splunk هنا. يقومون بتجميع هذين الحدثين المنفصلين في Splunk ويمكنك حفظ هذه السلسلة كنوع حدث واحد (Employee_Detail).

  • يشير نوع حدث Splunk إلى مجموعة من البيانات التي تساعد في تصنيف الأحداث بناءً على الخصائص المشتركة.
  • إنه حقل محدد بواسطة المستخدم يقوم بمسح كمية هائلة من البيانات وإرجاع نتائج البحث في شكل لوحات معلومات. يمكنك أيضًا إنشاء تنبيهات بناءً على نتائج البحث.

لاحظ أنه لا يمكنك استخدام حرف الأنبوب أو بحث فرعي أثناء تحديد نوع الحدث. ولكن ، يمكنك ربط علامة أو أكثر بنوع حدث.الآن ، دعنا نتعلم كيف يتم إنشاء أنواع أحداث Splunk هذه.
هناك عدة طرق لإنشاء نوع الحدث:



  1. باستخدام البحث
  2. استخدام الأداة المساعدة Build Event Type
  3. باستخدام Splunk Web
  4. ملفات التكوين (eventtypes.conf)

دعونا ندخل في مزيد من التفاصيل لفهمها بشكل صحيح:

واحد. باستخدام البحث: يمكننا إنشاء نوع حدث عن طريق كتابة استعلام بحث بسيط.
اتبع الخطوات التالية لإنشاء حساب:
> قم بإجراء بحث باستخدام سلسلة البحث
على سبيل المثال: الفهرس = emp_details emp_id = 3
> انقر فوق حفظ باسم وحدد نوع الحدث.
يمكنك الرجوع إلى لقطة الشاشة أدناه للحصول على فهم أفضل:


 2. استخدام الأداة المساعدة لإنشاء نوع الحدث: تتيح لك الأداة المساعدة Build Event Type إنشاء أنواع الأحداث بشكل ديناميكي استنادًا إلى أحداث Splunk التي يتم إرجاعها بواسطة عمليات البحث. تمكنك هذه الأداة أيضًا من تعيين ألوان معينة لأنواع الأحداث.


يمكنك العثور على هذه الأداة في نتائج البحث الخاصة بك. دعنا ننتقل من خلال الخطوات التالية: Splunk-event-actions-splunk-events-Edureka
الخطوة 1: افتح قائمة الأحداث المنسدلة
الخطوة 2: ابحث عن السهم لأسفل بجوار الطابع الزمني للحدث
الخطوة 3: انقر فوق إنشاء نوع الحدث
بمجرد النقر فوق 'إنشاء نوع الحدث' المعروض في لقطة الشاشة أعلاه ، سيعيد مجموعة الأحداث المحددة بناءً على بحث معين.

3. باستخدام Splunk Web: هذه هي أسهل طريقة لإنشاء نوع الحدث.
لهذا ، يمكنك اتباع الخطوات التالية:
' اذهب للاعدادات
»انتقل إلى Evيكونأنواع NT
انقر فوق جديد

اسمحوا لي أن آخذ مثال الموظف نفسه لتسهيل الأمر.
سيكون طلب البحث هو نفسه في هذه الحالة:
الفهرس = emp_details emp_id = 3

الرجوع إلى لقطة الشاشة أدناه للحصول على فهم أفضل:

أربعة. ملفات التكوين (eventtypes.conf): يمكنك إنشاء أنواع الأحداث عن طريق تحرير ملف تكوين eventtypes.conf مباشرة في $ SPLUNK_HOME / etc / system / local
على سبيل المثال: 'Employee_Detail'
الرجوع إلى لقطة الشاشة أدناه للحصول على فهم أفضل:

كيفية عمل الصلاحيات في جافا

الآن ، ستكون قد فهمت كيفية إنشاء أنواع الأحداث وعرضها. بعد ذلك ، دعنا نتعلم كيف يمكن استخدام علامات Splunk وكيف تضفي الوضوح على بياناتك.


العلامات Splunk

يجب أن تكون على دراية بما تعنيه العلامة بشكل عام. يستخدم معظمنا ميزة وضع العلامات في Facebook للإشارة إلى الأصدقاء في منشور أو صورة. حتى في Splunk ، يعمل وضع العلامات بطريقة مماثلة. دعونا نفهم هذا بمثال. لدينا حقل emp_id لفهرس Splunk. الآن ، تريد توفير علامة (الموظف 2) إلى emp_id = 2 زوج حقل / قيمة. يمكننا إنشاء علامة لـ emp_id = 2 والتي يمكن البحث عنها الآن باستخدام Employee2.

  • تُستخدم علامات Splunk لتعيين أسماء لحقول محددة ومجموعات قيم.
  • إنها أبسط طريقة للحصول على النتائج في أزواج أثناء البحث. يمكن أن يحتوي أي نوع حدث على علامات متعددة للحصول على نتائج سريعة.
  • يساعد على البحثمجموعات من بيانات الأحداث بشكل أكثر كفاءة.
  • يتم وضع العلامات على زوج القيمة الرئيسية الذي يساعد في الحصول على المعلومات المتعلقة بحدث معين ، بينما يوفر نوع الحدث معلومات عن جميع أحداث Splunk المرتبطة به.
  • يمكنك أيضًا تعيين علامات متعددة لقيمة واحدة.

انظر إلى لقطة الشاشة على الجانب الأيمن لإنشاء علامة Splunk.

اذهب إلى الإعدادات -> العلامات

الآن ، ربما تكون قد فهمت كيفية إنشاء العلامة. دعونا الآن نفهم كيفية إدارة علامات Splunk. توجد ثلاث طرق عرض في صفحة العلامات ضمن الإعدادات:
1. قائمة حسب زوج قيمة الحقل
2. قائمة حسب اسم العلامة
3. جميع كائنات العلامة الفريدة

دعنا ندخل في مزيد من التفاصيل ونفهم طرقًا مختلفة للإدارةوالحصول على وصول سريع إلى الارتباطات التي يتم إجراؤها بين العلامات وأزواج الحقول / القيم.

واحد. قائمة حسب زوج قيمة الحقل: يساعدك هذا في مراجعة أو تحديد مجموعة من العلامات لزوج من الحقول / القيمة. يمكنك الاطلاع على قائمة هذه الأزواج لعلامة معينة.
الرجوع إلى لقطة الشاشة أدناه للحصول على فهم أفضل:


2. سرد حسب اسم العلامة: يساعدك على مراجعة وتحرير مجموعات أزواج الحقول / القيم. يمكنك العثور على قائمة إقران الحقل / القيمة لعلامة معينة بالانتقال إلى عرض 'قائمة حسب اسم العلامة' ثم النقر فوق اسم العلامة. هذا يأخذك إلى صفحة تفاصيل العلامة.
مثال: افتح صفحة تفاصيل علامة الموظف 2.
الرجوع إلى لقطة الشاشة أدناه للحصول على فهم أفضل:

3. جميع كائنات العلامات الفريدة: يساعدك على توفير جميع أسماء العلامات الفريدة وأقران الحقول / القيمة في نظامك. يمكنك البحث عن علامة معينة لترى بسرعة جميع أزواج الحقول / القيم المرتبطة بها. يمكنك بسهولة الحفاظ على الأذونات ، لتمكين أو تعطيل علامة معينة.

الرجوع إلى لقطة الشاشة أدناه للحصول على فهم أفضل:

الآن ، هناك طريقتان للبحث عن العلامات:

  • إذا احتجنا إلى البحث عن علامة مرتبطة بقيمة في أي حقل ، فيمكننا استخدام:
    علامة =
    في المثال أعلاه ، سيكون: العلامة = الموظف 2
  • إذا كنا نبحث عن علامة مرتبطة بقيمة في حقل معين ، فيمكننا استخدام:
    علامة :: =
    في المثال أعلاه ، سيكون: tag :: emp_id = worker2

في هذه المدونة ، قمت بشرح ثلاثة كائنات معرفية (أحداث Splunk ونوع الحدث والعلامات) التي تساعد في تسهيل عمليات البحث الخاصة بك. في مدونتي التالية ، سأشرح بعض كائنات المعرفة مثل حقول Splunk ، وكيف يعمل استخراج الحقول وعمليات البحث عن Splunk. أتمنى أن تكون قد استمتعت بقراءة مدونتي الثانية حول كائنات المعرفة.

كيفية استخدام القوة في جافا

هل ترغب في تعلم Splunk وتنفيذه في عملك؟ تحقق من هنا ، يأتي ذلك مع تدريب مباشر بقيادة مدرب وتجربة مشروع واقعية.

البيانات الكبيرة

التصنيفات

Popular Articles

ما هي مكونات Java Architecture؟

تعرف على كيفية استخدام وظيفة الخريطة في بايثون مع الأمثلة

إدارة نطاق المشروع - تعرف على كيفية إدارة المشروع بكفاءة

كيفية تنفيذ Map Interface في Java؟

أهم 10 أسباب لتعلم R

كيف يتم تنفيذ الفصل الداخلي في جافا؟

دروس Netbeans: ما هو NetBeans IDE وكيف تبدأ؟

ما هي أفضل طريقة لاستخدام وظيفة العد في بايثون؟

كيفية تنفيذ الكلمات الرئيسية المتغيرة في جافا؟

تبديد الغموض عن التقسيم في سبارك