Splunk-이벤트 유형

Splunk 검색에서는 특정 기준에 따라 데이터 세트에서 자체 이벤트를 설계 할 수 있습니다. 예를 들어, http 상태 코드가 200 인 이벤트 만 검색합니다. 이제이 이벤트는 사용자 정의 이름을 다음과 같은 이벤트 유형으로 저장할 수 있습니다.status200 이 이벤트 이름을 향후 검색의 일부로 사용합니다.

간단히 말해서 이벤트 유형은 특정 유형의 이벤트 또는 유용한 이벤트 모음을 반환하는 검색을 나타냅니다. 검색에서 반환 할 수있는 모든 이벤트는 해당 이벤트 유형과 연결됩니다.

이벤트 유형 생성

검색 기준을 결정한 후 이벤트 유형을 생성하는 방법에는 두 가지가 있습니다. 하나는run검색 한 다음 이벤트 유형으로 저장합니다. 또 하나는add a new Event Type from the settings tab. 이 섹션에서는이를 만드는 두 가지 방법을 모두 살펴 보겠습니다.

검색 사용

성공한 http 상태 값이 200이고 이벤트 유형이 수요일에 실행되는 기준을 가진 이벤트 검색을 고려하십시오. 검색어를 실행 한 후Save As 쿼리를 이벤트 유형으로 저장하는 옵션.

다음 화면은 이벤트 유형의 이름을 지정하고 선택 사항 인 태그를 선택한 다음 이벤트를 강조 표시 할 색상을 선택하라는 메시지를 표시합니다. 우선 순위 옵션은 두 개 이상의 이벤트 유형이 동일한 이벤트와 일치하는 경우 먼저 표시 될 이벤트 유형을 결정합니다.

마지막으로 이벤트 유형이 생성 된 것을 볼 수 있습니다. Settings → Event Types 선택권.

새 이벤트 유형 사용

새 이벤트 유형을 생성하는 다른 옵션은 Settings → Event Types 새 이벤트 유형을 추가 할 수있는 아래 표시된 옵션-

버튼을 클릭하면 New Event Type 이전 섹션에서와 동일한 쿼리를 추가하기 위해 다음 화면이 표시됩니다.

이벤트 유형보기

위에서 만든 이벤트를보기 위해 검색 상자에 아래 검색 쿼리를 작성하면 이벤트 유형에 대해 선택한 색상과 함께 결과 이벤트를 볼 수 있습니다.

이벤트 유형 사용

이벤트 유형을 다른 쿼리와 함께 사용할 수 있습니다. 여기에서 이벤트 유형의 일부 기준을 지정하고 결과는 결과에 색상이 지정된 이벤트와 색상이없는 이벤트를 표시하는 이벤트의 혼합입니다.