Splunk 源类型
所有传入 Splunk 的数据首先由其内置的数据处理单元进行判断,并分类为某些数据类型和类别。例如,如果它是来自 apache 网络服务器的日志,Splunk 能够识别并从读取的数据中创建适当的字段。
Splunk 中的此功能称为源类型检测,它使用称为"预训练"源类型的内置源类型来实现此目的。
这使得分析更容易,因为用户无需手动对数据进行分类并将任何数据类型分配给传入数据的字段。
支持的源类型
通过 添加数据功能上传文件,然后选择源类型下拉菜单,可以查看 Splunk 中支持的源类型。在下图中,我们上传了一个 CSV 文件,然后检查了所有可用选项。
来源类型子类别
即使在这些类别中,我们也可以进一步单击以查看支持的所有子类别。因此,当您选择数据库类别时,您可以找到 Splunk 可以识别的不同类型的数据库及其支持的文件。
预训练的源类型
下表列出了 Splunk 识别的一些重要的预训练源类型:
| 源类型名称 | 自然 |
| access_combined | NCSA 组合格式 http web 服务器日志(可以由 apache 或其他 web 服务器生成) |
| access_combined_wcookie | NCSA 组合格式 http web 服务器日志(可以由 apache 或其他 web 服务器生成),末尾添加 cookie 字段 |
| apache_error | 标准 Apache Web 服务器错误日志 |
| linux_messages_syslog | 标准 linux syslog(大多数平台上的/var/log/messages) |
| log4j | 任何使用 log4j 的 J2EE 服务器生成的 Log4j 标准输出 |
| mysqld_error | 标准mysql错误日志 |
Splunk 具有强大的搜索功能,可让您搜索摄取的整个数据集。此功能可通过名为 Search & Reporting 的应用程序访问,该应用程序可在登录网络界面后在左侧栏中看到。点击 搜索和报告应 ...