Splunk-タグ

タグは、特定のフィールドと値の組み合わせに名前を割り当てるために使用されます。これらのフィールドには、イベントタイプ、ホスト、ソース、またはソースタイプなどがあります。タグを使用してフィールド値のセットをグループ化し、1つのコマンドで検索できるようにすることもできます。たとえば、月曜日に生成されたすべての異なるファイルに、mon_filesという名前のタグを付けることができます。

タグ付けするフィールドと値のペアを見つけるには、イベントを展開し、検討するフィールドを見つける必要があります。以下の画像は、イベントを展開してフィールドを表示する方法を示しています-

タグの作成

を使用してフィールドと値のペアにタグ値を追加することでタグを作成できます Edit Tags以下に示すオプション。[アクション]列の下のフィールドを選択します。

次の画面では、タグを定義するように求められます。[ステータス]フィールドには、ステータス値503または505を選択し、次に示すようにserver_errorという名前のタグを割り当てます。それぞれステータス値が503と505のイベントを持つ2つのイベントを選択して、1つずつ実行する必要があります。次の画像はステータス値が503のメソッドを示しています。ステータス値が次のイベントに対して同じ手順を繰り返す必要があります。 505。

タグを使用した検索

タグが作成されると、検索バーにタグ名を入力するだけで、タグを含むイベントを検索できます。次の画像では、ステータスが503または505のすべてのイベントが表示されています。