Splunk-イベントタイプ

Splunk検索では、特定の基準に基づいてデータセットから独自のイベントを設計できます。たとえば、httpステータスコードが200のイベントのみを検索します。このイベントは、ユーザー定義名を次のように指定してイベントタイプとして保存できるようになりました。status200 このイベント名を今後の検索の一部として使用します。

つまり、イベントタイプは、特定のタイプのイベントまたは有用なイベントのコレクションを返す検索を表します。検索によって返される可能性のあるすべてのイベントは、そのイベントタイプとの関連付けを取得します。

イベントタイプの作成

検索条件を決定した後、イベントタイプを作成する方法は2つあります。1つはrun検索して、イベントタイプとして保存します。もう一つはadd a new Event Type from the settings tab。このセクションでは、両方の作成方法を説明します。

検索の使用

成功したhttpステータス値が200で、イベントタイプが水曜日に実行されるという基準を持つイベントの検索を検討してください。検索クエリを実行した後、選択できますSave As クエリをイベントタイプとして保存するオプション。

次の画面では、イベントタイプの名前を指定するように求められ、オプションのタグを選択してから、イベントを強調表示する色を選択します。優先度オプションは、2つ以上のイベントタイプが同じイベントに一致する場合に最初に表示されるイベントタイプを決定します。

最後に、に移動すると、イベントタイプが作成されたことがわかります。 Settings → Event Types オプション。

新しいイベントタイプの使用

新しいイベントタイプを作成する他のオプションは、 Settings → Event Types 以下に示すオプションで、新しいイベントタイプを追加できます-

ボタンをクリックすると New Event Type 次の画面が表示され、前のセクションと同じクエリが追加されます。

イベントタイプの表示

上で作成したイベントを表示するには、検索ボックスに以下の検索クエリを入力すると、結果のイベントと、イベントタイプに選択した色が表示されます。

イベントタイプの使用

イベントタイプは他のクエリと一緒に使用できます。ここでは、イベントタイプからいくつかの部分的な基準を指定します。結果は、結果に色付きのイベントと色なしのイベントを示すイベントの組み合わせです。