Splunk - แท็ก

แท็กใช้เพื่อกำหนดชื่อให้กับฟิลด์เฉพาะและชุดค่าผสม ฟิลด์เหล่านี้อาจเป็นประเภทเหตุการณ์โฮสต์แหล่งที่มาหรือประเภทแหล่งที่มาเป็นต้นคุณยังสามารถใช้แท็กเพื่อจัดกลุ่มค่าฟิลด์เข้าด้วยกันเพื่อให้คุณสามารถค้นหาด้วยคำสั่งเดียว ตัวอย่างเช่นคุณสามารถแท็กไฟล์ต่างๆทั้งหมดที่สร้างขึ้นในวันจันทร์เป็นแท็กชื่อ mon_files

ในการค้นหาคู่ค่าฟิลด์ที่เราจะแท็กเราจำเป็นต้องขยายเหตุการณ์และค้นหาฟิลด์ที่จะพิจารณา ภาพด้านล่างแสดงให้เห็นว่าเราสามารถขยายเหตุการณ์เพื่อดูฟิลด์ได้อย่างไร -

การสร้างแท็ก

เราสามารถสร้างแท็กโดยการเพิ่มค่าแท็กให้กับคู่ค่าฟิลด์โดยใช้ Edit Tagsตามที่แสดงด้านล่าง เราเลือกฟิลด์ภายใต้คอลัมน์การดำเนินการ

หน้าจอถัดไปแจ้งให้เรากำหนดแท็ก สำหรับช่องสถานะเราเลือกค่าสถานะเป็น 503 หรือ 505 และกำหนดแท็กชื่อ server_error ดังที่แสดงด้านล่าง เราต้องทำทีละรายการโดยเลือกสองเหตุการณ์โดยแต่ละเหตุการณ์มีค่าสถานะ 503 และ 505 ภาพด้านล่างแสดงวิธีการสำหรับค่าสถานะเป็น 503 เราต้องทำซ้ำขั้นตอนเดียวกันสำหรับเหตุการณ์ที่มีค่าสถานะเป็น 505.

การค้นหาโดยใช้แท็ก

เมื่อสร้างแท็กแล้วเราสามารถค้นหาเหตุการณ์ที่มีแท็กได้โดยเพียงเขียนชื่อแท็กในแถบค้นหา ในภาพด้านล่างเราจะเห็นเหตุการณ์ทั้งหมดที่มีสถานะ: 503 หรือ 505