Splunk 知识管理

 

Splunk 知识管理是关于维护 Splunk Enterprise 实施的知识对象。

以下是 知识管理的主要特点

  • 确保知识对象由组织中正确的人群共享和使用。
  • 通过实施知识对象命名约定和淘汰重复或过时的对象来规范事件数据。
  • 监督改进搜索和透视性能的策略(报告加速、数据模型加速、汇总索引、批处理模式搜索)。
  • 为 Pivot 用户构建数据模型。

 

知识对象

它是一个 Splunk 对象,用于获取有关您的数据的特定信息。创建知识对象时,您可以将其保密,也可以与其他用户共享。知识对象的例子有:保存的搜索、标签、字段提取、查找等。

 

知识对象的使用

在使用 Splunk 软件时,将创建和保存知识对象。但是它们可能包含重复的信息,或者它们可能没有被所有目标受众有效使用。为了解决这些问题,我们需要管理这些对象。这是通过对它们进行正确分类然后使用适当的权限管理来处理它们来完成的。以下是各种知识对象的用途和分类:

 

字段和字段提取

字段和字段提取是 Splunk 软件知识的第一层。从 IT 数据中从 Splunk 软件中自动提取的字段有助于为原始数据带来意义。手动提取的字段在这一层含义上进行了扩展和改进。

 

事件类型和交易

使用事件类型和事务将有趣的类似事件组合在一起。事件类型将通过搜索发现的事件集组合在一起。事务是跨越时间的概念相关事件的集合。

 

查找和工作流操作

查找和工作流操作是知识对象的类别,它们以各种方式扩展数据的有用性。通过字段查找,您可以从外部数据源(例如静态表(CSV 文件)或基于 Python 的命令)向数据添加字段。工作流操作支持您数据中的字段与其他应用程序或网络资源之间的交互,例如对包含 IP 地址的字段进行 WHOIS 查找。

 

标签和别名

标签和别名用于管理和规范字段信息集。您可以使用标签和别名将相关字段值集组合在一起,并提供反映其身份不同方面的提取字段标签。例如,您可以通过为每个主机提供相同的标签,将特定位置(例如建筑物或城市)的主机组中的事件组合在一起。

如果您有两个不同的来源使用不同的字段名称来引用相同的数据,那么您可以使用别名来规范化您的数据(例如,将 clientip 别名为 ipaddress)。

 

数据模型

数据模型是一个或多个数据集的表示,它们驱动 Pivot 工具,使 Pivot 用户能够快速生成有用的表格、复杂的可视化和可靠的报告,而无需与 Splunk 软件搜索语言进行交互。数据模型由完全理解其索引数据的格式和语义的知识经理设计。典型的数据模型使用其他知识对象类型。

我们将在后续章节中讨论这些知识对象的一些示例。

 子搜索是常规搜索的一种特殊情况,当次要或内部查询的结果是主要或外部查询的输入时。它类似于 SQL 语言中子查询的概念。在 Splunk 中,主查询应该返回一个结果,该结果可以输入到外部或次要查询中。当搜索包 ...