Splunk - Quản lý tri thức
Quản lý tri thức Splunk là về việc duy trì các đối tượng tri thức để triển khai Splunk Enterprise.
Dưới đây là main features of knowledge management -
Đảm bảo rằng các đối tượng tri thức đang được chia sẻ và sử dụng bởi đúng nhóm người trong tổ chức.
Chuẩn hóa dữ liệu sự kiện bằng cách thực hiện các quy ước đặt tên đối tượng tri thức và loại bỏ các đối tượng trùng lặp hoặc lỗi thời.
Giám sát các chiến lược để cải thiện hiệu suất tìm kiếm và xoay vòng (tăng tốc báo cáo, tăng tốc mô hình dữ liệu, lập chỉ mục tóm tắt, tìm kiếm chế độ hàng loạt).
Xây dựng mô hình dữ liệu cho người dùng Pivot.
Đối tượng tri thức
Nó là một đối tượng Splunk để lấy thông tin cụ thể về dữ liệu của bạn. Khi bạn tạo một đối tượng tri thức, bạn có thể giữ nó ở chế độ riêng tư hoặc bạn có thể chia sẻ nó với những người dùng khác. Các ví dụ về đối tượng tri thức là: tìm kiếm đã lưu, thẻ, trích xuất trường, tra cứu, v.v.
Sử dụng các đối tượng tri thức
Khi sử dụng phần mềm Splunk, các đối tượng tri thức được tạo và lưu. Nhưng chúng có thể chứa thông tin trùng lặp hoặc chúng có thể không được tất cả các đối tượng dự định sử dụng một cách hiệu quả. Để giải quyết những vấn đề như vậy, chúng ta cần quản lý các đối tượng này. Điều này được thực hiện bằng cách phân loại chúng đúng cách và sau đó sử dụng quản lý quyền thích hợp để xử lý chúng. Dưới đây là cách sử dụng và phân loại các đối tượng tri thức khác nhau -
Trường và chiết xuất trường
Các trường và trích xuất trường là lớp đầu tiên của kiến thức phần mềm Splunk. Các trường được phần mềm Splunk tự động trích xuất từ dữ liệu CNTT giúp mang lại ý nghĩa cho dữ liệu thô. Các trường được trích xuất thủ công mở rộng và cải thiện theo lớp ý nghĩa này.
Các loại sự kiện và giao dịch
Sử dụng các loại sự kiện và giao dịch để nhóm các tập hợp sự kiện tương tự thú vị lại với nhau. Các loại sự kiện nhóm các tập hợp sự kiện được phát hiện thông qua tìm kiếm với nhau. Giao dịch là tập hợp các sự kiện liên quan đến khái niệm kéo dài theo thời gian.
Tra cứu và hành động quy trình làm việc
Tra cứu và hành động quy trình làm việc là các loại đối tượng tri thức mở rộng tính hữu ích của dữ liệu của bạn theo nhiều cách khác nhau. Tra cứu trường cho phép bạn thêm trường vào dữ liệu của mình từ các nguồn dữ liệu bên ngoài như bảng tĩnh (tệp CSV) hoặc các lệnh dựa trên Python. Các hành động trong quy trình làm việc cho phép tương tác giữa các trường trong dữ liệu của bạn và các ứng dụng hoặc tài nguyên web khác, chẳng hạn như tra cứu WHOIS trên trường chứa địa chỉ IP.
Thẻ và bí danh
Thẻ và bí danh được sử dụng để quản lý và chuẩn hóa các tập hợp thông tin trường. Bạn có thể sử dụng các thẻ và bí danh để nhóm các tập hợp giá trị trường liên quan lại với nhau và để cung cấp các thẻ trường được trích xuất phản ánh các khía cạnh khác nhau về danh tính của chúng. Ví dụ: bạn có thể nhóm các sự kiện từ nhóm máy chủ ở một vị trí cụ thể (chẳng hạn như tòa nhà hoặc thành phố) với nhau bằng cách cấp cùng một thẻ cho mỗi máy chủ.
Nếu bạn có hai nguồn khác nhau sử dụng các tên trường khác nhau để tham chiếu đến cùng một dữ liệu, thì bạn có thể chuẩn hóa dữ liệu của mình bằng cách sử dụng bí danh (ví dụ: bằng cách đặt biệt danh clientip cho ipaddress).
Mô hình dữ liệu
Mô hình dữ liệu là các đại diện của một hoặc nhiều tập dữ liệu và chúng thúc đẩy công cụ Pivot, cho phép người dùng Pivot nhanh chóng tạo các bảng hữu ích, hình ảnh trực quan phức tạp và các báo cáo mạnh mẽ mà không cần tương tác với ngôn ngữ tìm kiếm của phần mềm Splunk. Các mô hình dữ liệu được thiết kế bởi những người quản lý tri thức hiểu đầy đủ về định dạng và ngữ nghĩa của dữ liệu được lập chỉ mục của họ. Một mô hình dữ liệu điển hình sử dụng các kiểu đối tượng tri thức khác.
Chúng ta sẽ thảo luận một số ví dụ về các đối tượng tri thức này trong các chương tiếp theo.