Splunk - Wissensmanagement
Beim Splunk-Wissensmanagement geht es um die Pflege von Wissensobjekten für eine Splunk Enterprise-Implementierung.
Unten sind die main features of knowledge management - -
Stellen Sie sicher, dass Wissensobjekte von den richtigen Personengruppen in der Organisation gemeinsam genutzt und verwendet werden.
Normalisieren Sie Ereignisdaten, indem Sie Namenskonventionen für Wissensobjekte implementieren und doppelte oder veraltete Objekte entfernen.
Überwachen Sie Strategien für eine verbesserte Such- und Pivot-Leistung (Berichtsbeschleunigung, Datenmodellbeschleunigung, zusammenfassende Indizierung, Stapelmodus-Suche).
Erstellen Sie Datenmodelle für Pivot-Benutzer.
Wissensobjekt
Es ist ein Splunk-Objekt, um bestimmte Informationen zu Ihren Daten abzurufen. Wenn Sie ein Wissensobjekt erstellen, können Sie es privat halten oder für andere Benutzer freigeben. Die Beispiele für Wissensobjekte sind: gespeicherte Suchen, Tags, Feldextraktionen, Suchvorgänge usw.
Verwendung von Wissensobjekten
Bei Verwendung der Splunk-Software werden die Wissensobjekte erstellt und gespeichert. Sie können jedoch doppelte Informationen enthalten oder nicht von allen Zielgruppen effektiv genutzt werden. Um solche Probleme zu beheben, müssen wir diese Objekte verwalten. Dies erfolgt durch ordnungsgemäße Klassifizierung und anschließende ordnungsgemäße Berechtigungsverwaltung. Nachfolgend finden Sie die Verwendung und Klassifizierung verschiedener Wissensobjekte -
Felder und Feldextraktionen
Felder und Feldextraktionen sind die erste Ebene des Splunk-Software-Wissens. Die Felder, die automatisch aus der Splunk-Software aus den IT-Daten extrahiert werden, tragen dazu bei, den Rohdaten Bedeutung zu verleihen. Die manuell extrahierten Felder erweitern und verbessern diese Bedeutungsebene.
Ereignistypen und Transaktionen
Verwenden Sie Ereignistypen und Transaktionen, um interessante Gruppen ähnlicher Ereignisse zu gruppieren. Ereignistypen gruppieren Ereignisgruppen, die durch Suchen entdeckt wurden. Transaktionen sind Sammlungen von konzeptionell relevanten Ereignissen, die sich über die Zeit erstrecken.
Lookups und Workflow-Aktionen
Lookups und Workflow-Aktionen sind Kategorien von Wissensobjekten, die den Nutzen Ihrer Daten auf verschiedene Weise erweitern. Mithilfe von Feldsuchen können Sie Ihren Daten Felder aus externen Datenquellen wie statischen Tabellen (CSV-Dateien) oder Python-basierten Befehlen hinzufügen. Workflow-Aktionen ermöglichen Interaktionen zwischen Feldern in Ihren Daten und anderen Anwendungen oder Webressourcen, z. B. eine WHOIS-Suche in einem Feld, das eine IP-Adresse enthält.
Tags und Aliase
Tags und Aliase werden zum Verwalten und Normalisieren von Feldinformationssätzen verwendet. Sie können Tags und Aliase verwenden, um Sätze verwandter Feldwerte zu gruppieren und extrahierte Feld-Tags zu erhalten, die verschiedene Aspekte ihrer Identität widerspiegeln. Beispielsweise können Sie Ereignisse von mehreren Hosts an einem bestimmten Ort (z. B. einem Gebäude oder einer Stadt) zusammen gruppieren, indem Sie jedem Host dasselbe Tag zuweisen.
Wenn Sie zwei verschiedene Quellen haben, die unterschiedliche Feldnamen verwenden, um auf dieselben Daten zu verweisen, können Sie Ihre Daten mithilfe von Aliasen normalisieren (z. B. indem Sie clientip auf ipaddress aliasen).
Datenmodelle
Datenmodelle sind Darstellungen eines oder mehrerer Datensätze und steuern das Pivot-Tool. So können Pivot-Benutzer schnell nützliche Tabellen, komplexe Visualisierungen und zuverlässige Berichte erstellen, ohne mit der Suchsprache der Splunk-Software interagieren zu müssen. Datenmodelle werden von Wissensmanagern entworfen, die das Format und die Semantik ihrer indizierten Daten vollständig verstehen. Ein typisches Datenmodell verwendet andere Wissensobjekttypen.
Wir werden einige der Beispiele dieser Wissensobjekte in den folgenden Kapiteln diskutieren.