Splunk - Типы событий
В поиске Splunk мы можем создавать собственные события из набора данных на основе определенных критериев. Например, мы ищем только события, которые имеют код состояния http 200. Теперь это событие можно сохранить как тип события с пользовательским именем какstatus200 и используйте это название события как часть будущих поисков.
Короче говоря, тип события представляет собой поиск, который возвращает определенный тип события или полезную коллекцию событий. Каждое событие, которое может быть возвращено поиском, связывается с этим типом события.
Создание типа события
После того, как мы определились с критериями поиска, есть два способа создать тип события. Один долженrunпоиск, а затем сохраните его как тип события. Другой -add a new Event Type from the settings tab. В этом разделе мы увидим оба способа его создания.
Использование поиска
Рассмотрим поиск событий, для которых критерий успешного HTTP-статуса равен 200 и тип события запускается в среду. После выполнения поискового запроса мы можем выбратьSave As возможность сохранить запрос как тип события.
На следующем экране предлагается указать имя для типа события, выбрать необязательный тег, а затем выбрать цвет, которым будут выделяться события. Опция приоритета определяет, какой тип события будет отображаться первым, если два или более типов событий соответствуют одному и тому же событию.
Наконец, мы можем увидеть, что тип события был создан, перейдя в Settings → Event Types вариант.
Использование нового типа события
Другой вариант создания нового типа события - использовать Settings → Event Types вариант, как показано ниже, где мы можем добавить новый тип события -
При нажатии на кнопку New Event Type мы получаем следующий экран для добавления того же запроса, что и в предыдущем разделе.
Просмотр типа события
Чтобы просмотреть событие, которое мы только что создали выше, мы можем написать приведенный ниже поисковый запрос в поле поиска, и мы сможем увидеть результирующие события вместе с цветом, который мы выбрали для типа события.
Использование типа события
Мы можем использовать тип Event вместе с другими запросами. Здесь мы указываем некоторые частичные критерии из типа события, и результатом является сочетание событий, которое показывает цветные и неокрашенные события в результате.