Splunk 事件类型
在 Splunk 搜索中,我们可以根据特定条件从数据集设计我们自己的事件。例如,我们只搜索 http 状态码为 200 的事件。此事件现在可以保存为用户定义名称为 status200 的事件类型,并将此事件名称用作未来的搜索。
简而言之,事件类型表示返回特定类型事件或有用事件集合的搜索。搜索可以返回的每个事件都与该事件类型相关联。
创建事件类型
确定搜索条件后,有两种方法可以创建事件类型。一种是 运行搜索,然后将其保存为事件类型。另一种方法是 从设置选项卡添加新的事件类型。我们将在本节中看到创建它的两种方式。
使用搜索
考虑搜索成功 http 状态值为 200 且事件类型在星期三运行的事件。运行搜索查询后,我们可以选择 另存为选项将查询保存为事件类型。
下一个屏幕提示为事件类型命名,选择一个可选的标签,然后选择将突出显示事件的颜色。优先级选项决定在两个或多个事件类型与同一事件匹配时首先显示哪种事件类型。
最后,我们可以通过进入 设置→事件类型选项看到事件类型已经创建。
使用新的事件类型
创建新事件类型的另一个选项是使用 设置 → 事件类型 选项,如下所示,我们可以在其中添加新的事件类型:
点击按钮 New Event Type 后,我们会看到以下屏幕添加与上一部分相同的查询。
查看事件类型
要查看我们刚刚在上面创建的事件,我们可以在搜索框中编写以下搜索查询,然后我们可以看到结果事件以及我们为事件类型选择的颜色。
使用事件类型
我们可以将事件类型与其他查询一起使用。在这里,我们从事件类型中指定了一些部分标准,结果是事件的混合,其中显示了结果中的彩色和非彩色事件。
Splunk 具有出色的可视化功能,可显示各种图表。这些图表是根据搜索查询的结果创建的,其中使用了适当的函数来提供数字输出。例如,如果我们从名为 web_applications 的数据集中查找平均文件大 ...