Splunk - การจัดการความรู้
การจัดการความรู้ Splunk เป็นเรื่องเกี่ยวกับการบำรุงรักษาออบเจ็กต์ความรู้สำหรับการใช้งาน Splunk Enterprise
ด้านล่างนี้คือไฟล์ main features of knowledge management -
ตรวจสอบให้แน่ใจว่ามีการแบ่งปันและใช้วัตถุความรู้โดยกลุ่มคนที่เหมาะสมในองค์กร
ปรับข้อมูลเหตุการณ์ให้เป็นปกติโดยใช้หลักการตั้งชื่อออบเจ็กต์ความรู้และการยกเลิกอ็อบเจ็กต์ที่ซ้ำกันหรือล้าสมัย
ดูแลกลยุทธ์สำหรับการค้นหาที่ดีขึ้นและประสิทธิภาพของเดือย (การเร่งรายงานการเร่งแบบจำลองข้อมูลการจัดทำดัชนีสรุปการค้นหาโหมดแบทช์)
สร้างแบบจำลองข้อมูลสำหรับผู้ใช้ Pivot
วัตถุความรู้
เป็นวัตถุ Splunk เพื่อรับข้อมูลเฉพาะเกี่ยวกับข้อมูลของคุณ เมื่อคุณสร้างออบเจ็กต์ความรู้คุณสามารถเก็บไว้เป็นส่วนตัวหรือจะแชร์กับผู้ใช้คนอื่นก็ได้ ตัวอย่างของออบเจ็กต์ความรู้ ได้แก่ การค้นหาที่บันทึกแท็กการแยกฟิลด์การค้นหาและอื่น ๆ
การใช้วัตถุความรู้
ในการใช้ซอฟต์แวร์ Splunk อ็อบเจ็กต์ความรู้จะถูกสร้างและบันทึก แต่อาจมีข้อมูลที่ซ้ำกันหรืออาจใช้ไม่ได้ผลกับผู้ชมเป้าหมายทั้งหมด เพื่อแก้ไขปัญหาดังกล่าวเราจำเป็นต้องจัดการวัตถุเหล่านี้ สิ่งนี้ทำได้โดยการจัดประเภทอย่างถูกต้องแล้วใช้การจัดการสิทธิ์ที่เหมาะสมเพื่อจัดการ ด้านล่างนี้คือการใช้และการจำแนกประเภทของวัตถุความรู้ต่างๆ -
เขตข้อมูลและการแยกเขตข้อมูล
ฟิลด์และการแยกฟิลด์เป็นชั้นแรกของความรู้ซอฟต์แวร์ Splunk ฟิลด์ที่ดึงข้อมูลโดยอัตโนมัติจากซอฟต์แวร์ Splunk จากข้อมูลไอทีช่วยให้ข้อมูลดิบมีความหมาย ฟิลด์ที่แยกด้วยตนเองจะขยายและปรับปรุงตามชั้นของความหมายนี้
ประเภทเหตุการณ์และธุรกรรม
ใช้ประเภทเหตุการณ์และธุรกรรมเพื่อจัดกลุ่มเหตุการณ์ที่คล้ายกันที่น่าสนใจเข้าด้วยกัน ประเภทเหตุการณ์จัดกลุ่มของเหตุการณ์ที่ค้นพบผ่านการค้นหาเข้าด้วยกัน ธุรกรรมคือชุดของเหตุการณ์ที่เกี่ยวข้องกับแนวคิดที่ขยายเวลา
การค้นหาและการดำเนินการเวิร์กโฟลว์
การค้นหาและการดำเนินการเวิร์กโฟลว์คือหมวดหมู่ของออบเจ็กต์ความรู้ที่ขยายประโยชน์ของข้อมูลของคุณในรูปแบบต่างๆ การค้นหาฟิลด์ช่วยให้คุณสามารถเพิ่มฟิลด์ลงในข้อมูลของคุณจากแหล่งข้อมูลภายนอกเช่นตารางแบบคงที่ (ไฟล์ CSV) หรือคำสั่งที่ใช้ Python การดำเนินการเวิร์กโฟลว์เปิดใช้งานการโต้ตอบระหว่างฟิลด์ในข้อมูลของคุณกับแอปพลิเคชันหรือทรัพยากรบนเว็บอื่น ๆ เช่นการค้นหา WHOIS ในฟิลด์ที่มีที่อยู่ IP
แท็กและนามแฝง
แท็กและนามแฝงใช้เพื่อจัดการและทำให้ชุดข้อมูลฟิลด์เป็นปกติ คุณสามารถใช้แท็กและนามแฝงเพื่อจัดกลุ่มชุดของค่าฟิลด์ที่เกี่ยวข้องเข้าด้วยกันและเพื่อให้แท็กฟิลด์ที่แยกออกมาซึ่งแสดงถึงลักษณะต่างๆของข้อมูลประจำตัว ตัวอย่างเช่นคุณสามารถจัดกลุ่มเหตุการณ์จากชุดโฮสต์ในสถานที่หนึ่ง ๆ (เช่นอาคารหรือเมือง) เข้าด้วยกันโดยให้แท็กเดียวกันกับแต่ละโฮสต์
หากคุณมีแหล่งที่มาที่แตกต่างกันสองแหล่งโดยใช้ชื่อเขตข้อมูลที่ต่างกันเพื่ออ้างถึงข้อมูลเดียวกันคุณสามารถทำให้ข้อมูลของคุณเป็นปกติได้โดยใช้นามแฝง (โดยการตั้งนามแฝงไคลเอนต์เป็น ipaddress เป็นต้น)
แบบจำลองข้อมูล
โมเดลข้อมูลคือการนำเสนอชุดข้อมูลอย่างน้อยหนึ่งชุดและขับเคลื่อนเครื่องมือ Pivot ทำให้ผู้ใช้ Pivot สามารถสร้างตารางที่มีประโยชน์การแสดงภาพที่ซับซ้อนและรายงานที่มีประสิทธิภาพได้อย่างรวดเร็วโดยไม่จำเป็นต้องโต้ตอบกับภาษาค้นหาซอฟต์แวร์ Splunk แบบจำลองข้อมูลได้รับการออกแบบโดยผู้จัดการความรู้ที่เข้าใจรูปแบบและความหมายของข้อมูลที่จัดทำดัชนีอย่างเต็มที่ แบบจำลองข้อมูลทั่วไปใช้ประโยชน์จากประเภทออบเจ็กต์ความรู้อื่น ๆ
เราจะพูดถึงตัวอย่างบางส่วนของวัตถุความรู้เหล่านี้ในบทต่อ ๆ ไป