Splunk - Nhập dữ liệu
Quá trình nhập dữ liệu trong Splunk xảy ra thông qua Add Datalà một phần của ứng dụng tìm kiếm và báo cáo. Sau khi đăng nhập, màn hình chính của giao diện Splunk hiển thịAdd Data biểu tượng như hình bên dưới.
Khi nhấp vào nút này, chúng ta sẽ thấy màn hình để chọn nguồn và định dạng của dữ liệu mà chúng ta định đẩy lên Splunk để phân tích.
Thu thập dữ liệu
Chúng tôi có thể lấy dữ liệu để phân tích từ Trang web chính thức của Splunk. Lưu tệp này và giải nén nó trong ổ đĩa cục bộ của bạn. Khi mở thư mục, bạn có thể tìm thấy ba tệp có các định dạng khác nhau. Chúng là dữ liệu nhật ký được tạo bởi một số ứng dụng web. Chúng tôi cũng có thể thu thập một bộ dữ liệu khác do Splunk cung cấp, có sẵn tại trang web Splunk chính thức.
Chúng tôi sẽ sử dụng dữ liệu từ cả hai bộ này để hiểu hoạt động của các tính năng khác nhau của Splunk.
Tải lên dữ liệu
Tiếp theo, chúng tôi chọn tệp, secure.log từ thư mục, mailsvmà chúng tôi đã lưu giữ trong hệ thống cục bộ của chúng tôi như đã đề cập trong đoạn trước. Sau khi chọn tệp, chúng tôi chuyển sang bước tiếp theo bằng cách sử dụng nút tiếp theo màu xanh lá cây ở góc trên cùng bên phải.
Chọn loại nguồn
Splunk có một tính năng tích hợp để phát hiện loại dữ liệu đang được nhập. Nó cũng cung cấp cho người dùng một tùy chọn để chọn kiểu dữ liệu khác với kiểu được Splunk chọn. Khi nhấp vào trình đơn thả xuống loại nguồn, chúng ta có thể thấy nhiều loại dữ liệu khác nhau mà Splunk có thể nhập và cho phép tìm kiếm.
Trong ví dụ hiện tại được đưa ra bên dưới, chúng tôi chọn loại nguồn mặc định.
Nhập vào cài đặt
Trong bước nhập dữ liệu này, chúng tôi định cấu hình tên máy chủ mà từ đó dữ liệu đang được nhập. Sau đây là các tùy chọn để chọn, cho tên máy chủ -
Giá trị hiện có
Nó là tên máy chủ hoàn chỉnh nơi chứa dữ liệu nguồn.
regex trên con đường
Khi bạn muốn trích xuất tên máy chủ bằng một biểu thức chính quy. Sau đó, nhập regex cho máy chủ lưu trữ bạn muốn trích xuất trong trường Biểu thức chính quy.
phân đoạn trong đường dẫn
Khi bạn muốn trích xuất tên máy chủ từ một phân đoạn trong đường dẫn của nguồn dữ liệu, hãy nhập số phân đoạn vào trường Số phân đoạn. Ví dụ: nếu đường dẫn đến nguồn là / var / log / và bạn muốn phân đoạn thứ ba (tên máy chủ lưu trữ) là giá trị máy chủ lưu trữ, hãy nhập "3".
Tiếp theo, chúng ta chọn kiểu chỉ mục sẽ được tạo trên dữ liệu đầu vào để tìm kiếm. Chúng tôi chọn chiến lược chỉ mục mặc định. Chỉ mục tóm tắt chỉ tạo tóm tắt dữ liệu thông qua tổng hợp và tạo chỉ mục trên đó trong khi chỉ mục lịch sử là để lưu trữ lịch sử tìm kiếm. Nó được mô tả rõ ràng trong hình ảnh bên dưới -
Xem lại Cài đặt
Sau khi nhấp vào nút tiếp theo, chúng tôi thấy bản tóm tắt các cài đặt chúng tôi đã chọn. Chúng ta xem lại và chọn Tiếp theo để hoàn tất việc tải dữ liệu lên.
Khi hoàn tất quá trình tải, màn hình bên dưới sẽ xuất hiện cho thấy quá trình nhập dữ liệu thành công và các hành động có thể khác mà chúng tôi có thể thực hiện đối với dữ liệu.