Splunk - Etiketler
Etiketler, belirli alan ve değer kombinasyonlarına ad atamak için kullanılır. Bu alanlar, olay türü, ana bilgisayar, kaynak veya kaynak türü vb. Olabilir. Ayrıca, bir dizi alan değerini bir arada gruplandırmak için bir etiket de kullanabilirsiniz, böylece bunları tek bir komutla arayabilirsiniz. Örneğin, Pazartesi günü oluşturulan tüm farklı dosyaları mon_files adlı bir etiketle etiketleyebilirsiniz.
Etiketleyeceğimiz alan-değer çiftini bulmak için, olayları genişletmemiz ve dikkate alınacak alanı bulmamız gerekir. Aşağıdaki resim, alanları görmek için bir etkinliği nasıl genişletebileceğimizi göstermektedir -
Etiket Oluşturma
Kullanarak alan-değer çiftine etiket değerini ekleyerek etiketler oluşturabiliriz. Edit Tagsseçeneği aşağıda gösterildiği gibi. Eylemler sütununun altındaki alanı seçiyoruz.
Sonraki ekran bizden etiketi tanımlamamızı ister. Durum alanı için 503 veya 505 durum değerini seçiyoruz ve aşağıda gösterildiği gibi server_error adlı bir etiket atıyoruz. Bunu, her biri 503 ve 505 durum değerine sahip olaylara sahip iki olay seçerek tek tek yapmalıyız. Aşağıdaki resimde, durum değeri 503 olarak gösterilmektedir. Durum değeri aşağıdaki gibi bir olay için aynı adımları tekrar etmeliyiz. 505.
Etiketleri Kullanarak Arama
Etiketler oluşturulduktan sonra, Tag adını arama çubuğuna yazarak Tag içeren olayları arayabiliriz. Aşağıdaki resimde 503 veya 505 statüsüne sahip tüm olayları görüyoruz.