Splunk - прием данных
Прием данных в Splunk происходит через Add Dataфункция, которая является частью приложения для поиска и создания отчетов. После входа в систему на главном экране интерфейса Splunk отображаетсяAdd Data значок, как показано ниже.
При нажатии на эту кнопку нам предоставляется экран для выбора источника и формата данных, которые мы планируем отправить в Splunk для анализа.
Сбор данных
Мы можем получить данные для анализа на официальном сайте Splunk. Сохраните этот файл и разархивируйте его на свой локальный диск. При открытии папки вы можете найти три файла разных форматов. Это данные журнала, созданные некоторыми веб-приложениями. Мы также можем собрать другой набор данных, предоставленных Splunk, который доступен на официальной веб-странице Splunk.
Мы будем использовать данные из обоих этих наборов для понимания работы различных функций Splunk.
Загрузка данных
Далее выбираем файл, secure.log из папки, mailsvкоторые мы сохранили в нашей локальной системе, как упоминалось в предыдущем абзаце. После выбора файла мы переходим к следующему шагу, используя зеленую кнопку «Далее» в правом верхнем углу.
Выбор типа источника
Splunk имеет встроенную функцию для определения типа загружаемых данных. Это также дает пользователю возможность выбрать тип данных, отличный от выбранного Splunk. Щелкнув раскрывающийся список типа источника, мы можем увидеть различные типы данных, которые Splunk может принимать и активировать для поиска.
В текущем примере, приведенном ниже, мы выбираем тип источника по умолчанию.
Настройки ввода
На этом этапе приема данных мы настраиваем имя хоста, с которого принимаются данные. Ниже приведены варианты выбора для имени хоста -
Постоянное значение
Это полное имя хоста, на котором находятся исходные данные.
регулярное выражение на пути
Если вы хотите извлечь имя хоста с помощью регулярного выражения. Затем введите регулярное выражение для хоста, который вы хотите извлечь, в поле «Регулярное выражение».
сегмент пути
Если вы хотите извлечь имя хоста из сегмента в пути к источнику данных, введите номер сегмента в поле Номер сегмента. Например, если путь к источнику - / var / log / и вы хотите, чтобы третий сегмент (имя хост-сервера) был значением хоста, введите «3».
Затем мы выбираем тип индекса, который будет создан для входных данных для поиска. Мы выбираем стратегию индексации по умолчанию. Сводный индекс только создает сводку данных посредством агрегирования и создает на нем индекс, в то время как индекс истории предназначен для хранения истории поиска. Это ясно показано на изображении ниже -
Проверить настройки
После нажатия на следующую кнопку мы видим сводку выбранных нами настроек. Мы просматриваем его и выбираем «Далее», чтобы завершить загрузку данных.
По завершении загрузки появляется экран ниже, который показывает успешный прием данных и дальнейшие возможные действия, которые мы можем предпринять с данными.