Splunk - การจัดการความรู้

การจัดการความรู้ Splunk เป็นเรื่องเกี่ยวกับการบำรุงรักษาออบเจ็กต์ความรู้สำหรับการใช้งาน Splunk Enterprise

ด้านล่างนี้คือไฟล์ main features of knowledge management -

  • ตรวจสอบให้แน่ใจว่ามีการแบ่งปันและใช้วัตถุความรู้โดยกลุ่มคนที่เหมาะสมในองค์กร

  • ปรับข้อมูลเหตุการณ์ให้เป็นปกติโดยใช้หลักการตั้งชื่อออบเจ็กต์ความรู้และการยกเลิกอ็อบเจ็กต์ที่ซ้ำกันหรือล้าสมัย

  • ดูแลกลยุทธ์สำหรับการค้นหาที่ดีขึ้นและประสิทธิภาพของเดือย (การเร่งรายงานการเร่งแบบจำลองข้อมูลการจัดทำดัชนีสรุปการค้นหาโหมดแบทช์)

  • สร้างแบบจำลองข้อมูลสำหรับผู้ใช้ Pivot

วัตถุความรู้

เป็นวัตถุ Splunk เพื่อรับข้อมูลเฉพาะเกี่ยวกับข้อมูลของคุณ เมื่อคุณสร้างออบเจ็กต์ความรู้คุณสามารถเก็บไว้เป็นส่วนตัวหรือจะแชร์กับผู้ใช้คนอื่นก็ได้ ตัวอย่างของออบเจ็กต์ความรู้ ได้แก่ การค้นหาที่บันทึกแท็กการแยกฟิลด์การค้นหาและอื่น ๆ

การใช้วัตถุความรู้

ในการใช้ซอฟต์แวร์ Splunk อ็อบเจ็กต์ความรู้จะถูกสร้างและบันทึก แต่อาจมีข้อมูลที่ซ้ำกันหรืออาจใช้ไม่ได้ผลกับผู้ชมเป้าหมายทั้งหมด เพื่อแก้ไขปัญหาดังกล่าวเราจำเป็นต้องจัดการวัตถุเหล่านี้ สิ่งนี้ทำได้โดยการจัดประเภทอย่างถูกต้องแล้วใช้การจัดการสิทธิ์ที่เหมาะสมเพื่อจัดการ ด้านล่างนี้คือการใช้และการจำแนกประเภทของวัตถุความรู้ต่างๆ -

เขตข้อมูลและการแยกเขตข้อมูล

ฟิลด์และการแยกฟิลด์เป็นชั้นแรกของความรู้ซอฟต์แวร์ Splunk ฟิลด์ที่ดึงข้อมูลโดยอัตโนมัติจากซอฟต์แวร์ Splunk จากข้อมูลไอทีช่วยให้ข้อมูลดิบมีความหมาย ฟิลด์ที่แยกด้วยตนเองจะขยายและปรับปรุงตามชั้นของความหมายนี้

ประเภทเหตุการณ์และธุรกรรม

ใช้ประเภทเหตุการณ์และธุรกรรมเพื่อจัดกลุ่มเหตุการณ์ที่คล้ายกันที่น่าสนใจเข้าด้วยกัน ประเภทเหตุการณ์จัดกลุ่มของเหตุการณ์ที่ค้นพบผ่านการค้นหาเข้าด้วยกัน ธุรกรรมคือชุดของเหตุการณ์ที่เกี่ยวข้องกับแนวคิดที่ขยายเวลา

การค้นหาและการดำเนินการเวิร์กโฟลว์

การค้นหาและการดำเนินการเวิร์กโฟลว์คือหมวดหมู่ของออบเจ็กต์ความรู้ที่ขยายประโยชน์ของข้อมูลของคุณในรูปแบบต่างๆ การค้นหาฟิลด์ช่วยให้คุณสามารถเพิ่มฟิลด์ลงในข้อมูลของคุณจากแหล่งข้อมูลภายนอกเช่นตารางแบบคงที่ (ไฟล์ CSV) หรือคำสั่งที่ใช้ Python การดำเนินการเวิร์กโฟลว์เปิดใช้งานการโต้ตอบระหว่างฟิลด์ในข้อมูลของคุณกับแอปพลิเคชันหรือทรัพยากรบนเว็บอื่น ๆ เช่นการค้นหา WHOIS ในฟิลด์ที่มีที่อยู่ IP

แท็กและนามแฝง

แท็กและนามแฝงใช้เพื่อจัดการและทำให้ชุดข้อมูลฟิลด์เป็นปกติ คุณสามารถใช้แท็กและนามแฝงเพื่อจัดกลุ่มชุดของค่าฟิลด์ที่เกี่ยวข้องเข้าด้วยกันและเพื่อให้แท็กฟิลด์ที่แยกออกมาซึ่งแสดงถึงลักษณะต่างๆของข้อมูลประจำตัว ตัวอย่างเช่นคุณสามารถจัดกลุ่มเหตุการณ์จากชุดโฮสต์ในสถานที่หนึ่ง ๆ (เช่นอาคารหรือเมือง) เข้าด้วยกันโดยให้แท็กเดียวกันกับแต่ละโฮสต์

หากคุณมีแหล่งที่มาที่แตกต่างกันสองแหล่งโดยใช้ชื่อเขตข้อมูลที่ต่างกันเพื่ออ้างถึงข้อมูลเดียวกันคุณสามารถทำให้ข้อมูลของคุณเป็นปกติได้โดยใช้นามแฝง (โดยการตั้งนามแฝงไคลเอนต์เป็น ipaddress เป็นต้น)

แบบจำลองข้อมูล

โมเดลข้อมูลคือการนำเสนอชุดข้อมูลอย่างน้อยหนึ่งชุดและขับเคลื่อนเครื่องมือ Pivot ทำให้ผู้ใช้ Pivot สามารถสร้างตารางที่มีประโยชน์การแสดงภาพที่ซับซ้อนและรายงานที่มีประสิทธิภาพได้อย่างรวดเร็วโดยไม่จำเป็นต้องโต้ตอบกับภาษาค้นหาซอฟต์แวร์ Splunk แบบจำลองข้อมูลได้รับการออกแบบโดยผู้จัดการความรู้ที่เข้าใจรูปแบบและความหมายของข้อมูลที่จัดทำดัชนีอย่างเต็มที่ แบบจำลองข้อมูลทั่วไปใช้ประโยชน์จากประเภทออบเจ็กต์ความรู้อื่น ๆ

เราจะพูดถึงตัวอย่างบางส่วนของวัตถุความรู้เหล่านี้ในบทต่อ ๆ ไป