Splunk - Datenaufnahme

Die Datenaufnahme in Splunk erfolgt über das Add DataFunktion, die Teil der Such- und Berichts-App ist. Nach dem Anmelden wird auf dem Startbildschirm der Splunk-Oberfläche das angezeigtAdd Data Symbol wie unten gezeigt.

Wenn Sie auf diese Schaltfläche klicken, wird der Bildschirm angezeigt, auf dem Sie die Quelle und das Format der Daten auswählen können, die zur Analyse an Splunk gesendet werden sollen.

Daten sammeln

Wir können die Daten zur Analyse von der offiziellen Website von Splunk erhalten. Speichern Sie diese Datei und entpacken Sie sie auf Ihrem lokalen Laufwerk. Beim Öffnen des Ordners finden Sie drei Dateien mit unterschiedlichen Formaten. Dies sind die Protokolldaten, die von einigen Web-Apps generiert werden. Wir können auch einen anderen Datensatz von Splunk sammeln, der auf der offiziellen Splunk-Webseite verfügbar ist.

Wir werden Daten aus diesen beiden Sätzen verwenden, um die Funktionsweise verschiedener Funktionen von Splunk zu verstehen.

Daten hochladen

Als nächstes wählen wir die Datei, secure.log aus dem Ordner, mailsvdie wir in unserem lokalen System beibehalten haben, wie im vorherigen Absatz erwähnt. Nachdem Sie die Datei ausgewählt haben, fahren Sie mit der grünen Schaltfläche Weiter in der oberen rechten Ecke mit dem nächsten Schritt fort.

Quelltyp auswählen

Splunk verfügt über eine integrierte Funktion zum Erkennen des Typs der aufgenommenen Daten. Außerdem kann der Benutzer einen anderen Datentyp als den von Splunk ausgewählten auswählen. Wenn Sie auf die Dropdown-Liste Quelltyp klicken, werden verschiedene Datentypen angezeigt, die Splunk aufnehmen und für die Suche aktivieren kann.

Im aktuellen Beispiel unten wählen wir den Standardquellentyp.

Eingabeeinstellungen

In diesem Schritt der Datenaufnahme konfigurieren wir den Hostnamen, von dem die Daten aufgenommen werden. Im Folgenden finden Sie die Optionen, aus denen Sie für den Hostnamen auswählen können:

Konstanter Wert

Dies ist der vollständige Hostname, auf dem sich die Quelldaten befinden.

Regex auf dem Weg

Wenn Sie den Hostnamen mit einem regulären Ausdruck extrahieren möchten. Geben Sie dann den regulären Ausdruck für den Host, den Sie extrahieren möchten, in das Feld Regulärer Ausdruck ein.

Segment im Pfad

Wenn Sie den Hostnamen aus einem Segment im Pfad Ihrer Datenquelle extrahieren möchten, geben Sie die Segmentnummer in das Feld Segmentnummer ein. Wenn der Pfad zur Quelle beispielsweise / var / log / lautet und Sie möchten, dass das dritte Segment (der Hostservername) der Hostwert ist, geben Sie "3" ein.

Als Nächstes wählen wir den Indextyp aus, der für die Suche in den Eingabedaten erstellt werden soll. Wir wählen die Standardindexstrategie. Der Zusammenfassungsindex erstellt nur eine Zusammenfassung der Daten durch Aggregation und erstellt einen Index dafür, während der Verlaufsindex zum Speichern des Suchverlaufs dient. Es ist deutlich im Bild unten dargestellt -

Überprüfen Sie die Einstellungen

Nachdem Sie auf die Schaltfläche Weiter geklickt haben, wird eine Zusammenfassung der von uns ausgewählten Einstellungen angezeigt. Wir überprüfen es und wählen Weiter, um das Hochladen der Daten abzuschließen.

Nach Abschluss des Ladevorgangs wird der folgende Bildschirm angezeigt, in dem die erfolgreiche Datenaufnahme und weitere mögliche Maßnahmen für die Daten angezeigt werden.