Splunk - Gestão do Conhecimento
O gerenciamento de conhecimento do Splunk trata da manutenção de objetos de conhecimento para uma implementação do Splunk Enterprise.
Abaixo estão os main features of knowledge management -
Certifique-se de que os objetos de conhecimento estão sendo compartilhados e usados pelos grupos certos de pessoas na organização.
Normalize dados de eventos implementando convenções de nomenclatura de objetos de conhecimento e removendo objetos duplicados ou obsoletos.
Supervisionar estratégias para melhorar o desempenho de pesquisa e pivô (aceleração de relatório, aceleração de modelo de dados, indexação de resumo, pesquisa em modo de lote).
Crie modelos de dados para usuários do Pivot.
Objeto de Conhecimento
É um objeto Splunk para obter informações específicas sobre seus dados. Ao criar um objeto de conhecimento, você pode mantê-lo privado ou pode compartilhá-lo com outros usuários. Os exemplos de objeto de conhecimento são: pesquisas salvas, tags, extrações de campo, pesquisas, etc.
Usos de objetos de conhecimento
Ao usar o software Splunk, os objetos de conhecimento são criados e salvos. Mas eles podem conter informações duplicadas ou podem não ser usados de forma eficaz por todo o público-alvo. Para resolver esses problemas, precisamos gerenciar esses objetos. Isso é feito classificando-os adequadamente e, em seguida, usando o gerenciamento de permissões adequado para tratá-los. Abaixo estão os usos e classificação de vários objetos de conhecimento -
Campos e extrações de campo
Campos e extrações de campo são a primeira camada de conhecimento do software Splunk. Os campos extraídos automaticamente do software Splunk dos dados de TI ajudam a dar significado aos dados brutos. Os campos extraídos manualmente expandem e aprimoram essa camada de significado.
Tipos de eventos e transações
Use tipos de eventos e transações para agrupar conjuntos interessantes de eventos semelhantes. Os tipos de eventos agrupam conjuntos de eventos descobertos por meio de pesquisas. As transações são coleções de eventos conceitualmente relacionados que abrangem o tempo.
Pesquisas e ações de fluxo de trabalho
Pesquisas e ações de fluxo de trabalho são categorias de objetos de conhecimento que estendem a utilidade de seus dados de várias maneiras. As pesquisas de campo permitem adicionar campos aos seus dados de fontes de dados externas, como tabelas estáticas (arquivos CSV) ou comandos baseados em Python. As ações de fluxo de trabalho permitem interações entre campos em seus dados e outros aplicativos ou recursos da web, como uma pesquisa WHOIS em um campo que contém um endereço IP.
Tags e aliases
Tags e aliases são usados para gerenciar e normalizar conjuntos de informações de campo. Você pode usar tags e aliases para agrupar conjuntos de valores de campo relacionados e fornecer tags de campo extraídas que refletem diferentes aspectos de sua identidade. Por exemplo, você pode agrupar eventos de um conjunto de hosts em um determinado local (como um prédio ou cidade), dando a mesma tag a cada host.
Se você tiver duas fontes diferentes usando nomes de campo diferentes para se referir aos mesmos dados, poderá normalizar seus dados usando aliases (alterando clientip para ipaddress, por exemplo).
Modelos de dados
Modelos de dados são representações de um ou mais conjuntos de dados e conduzem a ferramenta Pivot, permitindo que os usuários do Pivot gerem tabelas úteis, visualizações complexas e relatórios robustos sem a necessidade de interagir com a linguagem de pesquisa do software Splunk. Os modelos de dados são projetados por gerentes de conhecimento que entendem totalmente o formato e a semântica de seus dados indexados. Um modelo de dados típico faz uso de outros tipos de objetos de conhecimento.
Discutiremos alguns dos exemplos desses objetos de conhecimento nos capítulos subsequentes.