Splunk - Các loại sự kiện
Trong tìm kiếm Splunk, chúng tôi có thể thiết kế các sự kiện của riêng mình từ tập dữ liệu dựa trên các tiêu chí nhất định. Ví dụ: chúng tôi chỉ tìm kiếm các sự kiện có mã trạng thái http là 200. Sự kiện này hiện có thể được lưu dưới dạng một loại sự kiện với tên do người dùng xác định làstatus200 và sử dụng tên sự kiện này như một phần của các tìm kiếm trong tương lai.
Tóm lại, một loại sự kiện đại diện cho một tìm kiếm trả về một loại sự kiện cụ thể hoặc một tập hợp các sự kiện hữu ích. Mọi sự kiện có thể được trả về bởi tìm kiếm đều có liên kết với loại sự kiện đó.
Tạo loại sự kiện
Có hai cách để tạo loại sự kiện sau khi chúng tôi đã quyết định tiêu chí tìm kiếm. Một làruntìm kiếm và sau đó lưu nó dưới dạng Loại sự kiện. Khác là đểadd a new Event Type from the settings tab. Chúng ta sẽ xem cả hai cách tạo nó trong phần này.
Sử dụng Tìm kiếm
Xem xét việc tìm kiếm các sự kiện có tiêu chí giá trị trạng thái http thành công là 200 và loại sự kiện chạy vào Thứ Tư. Sau khi chạy truy vấn tìm kiếm, chúng tôi có thể chọnSave As tùy chọn để lưu truy vấn dưới dạng Loại sự kiện.
Màn hình tiếp theo nhắc đặt tên cho Loại sự kiện, chọn Thẻ là tùy chọn và sau đó chọn màu mà các sự kiện sẽ được đánh dấu. Tùy chọn ưu tiên quyết định loại sự kiện nào sẽ được hiển thị đầu tiên trong trường hợp hai hoặc nhiều loại sự kiện khớp với cùng một sự kiện.
Cuối cùng, chúng ta có thể thấy Loại sự kiện đã được tạo bằng cách chuyển đến Settings → Event Types Lựa chọn.
Sử dụng loại sự kiện mới
Tùy chọn khác để tạo Loại sự kiện mới là sử dụng Settings → Event Types như được hiển thị bên dưới, nơi chúng tôi có thể thêm Loại sự kiện mới -
Khi nhấp vào nút New Event Type chúng ta nhận được màn hình sau để thêm truy vấn giống như trong phần trước.
Xem loại sự kiện
Để xem sự kiện chúng tôi vừa tạo ở trên, chúng tôi có thể viết truy vấn tìm kiếm bên dưới vào hộp tìm kiếm và chúng tôi có thể xem các sự kiện kết quả cùng với màu mà chúng tôi đã chọn cho loại sự kiện.
Sử dụng loại sự kiện
Chúng ta có thể sử dụng loại Sự kiện cùng với các truy vấn khác. Ở đây chúng tôi chỉ định một số tiêu chí một phần từ Loại sự kiện và kết quả là sự kết hợp các sự kiện hiển thị các sự kiện có màu và không có màu trong kết quả.