ஸ்ப்ளங்க் அறிவு பொருள்கள்: ஸ்ப்ளங்க் நிகழ்வுகள், நிகழ்வு வகைகள் மற்றும் குறிச்சொற்கள்

எனது முந்தைய வலைப்பதிவில், 3 அறிவு பொருள்களைப் பற்றி பேசினேன்: ஸ்ப்ளங்க் டைம்சார்ட், டேட்டா மாடல் மற்றும் எச்சரிக்கை அவை தரவைப் புகாரளித்தல் மற்றும் காட்சிப்படுத்துதல் தொடர்பானவை. நீங்கள் தோற்றமளிக்க விரும்பினால், நீங்கள் குறிப்பிடலாம் இங்கே . இந்த வலைப்பதிவில், நான் ஸ்ப்ளங்க் நிகழ்வுகள், நிகழ்வு வகைகள் மற்றும் ஸ்ப்ளங்க் குறிச்சொற்களை விளக்கப் போகிறேன்.
இந்த அறிவு பொருள்கள் உங்கள் தரவை தேட மற்றும் புகாரளிப்பதை எளிதாக்குவதற்கு அவற்றை வளப்படுத்த உதவுகின்றன.

எனவே, ஸ்ப்ளங்க் நிகழ்வுகளுடன் தொடங்குவோம்.

ஸ்ப்ளங்க் நிகழ்வுகள்

ஒரு நிகழ்வு எந்தவொரு தனிப்பட்ட தரவையும் குறிக்கிறது. ஸ்ப்ளங்க் சேவையகத்திற்கு அனுப்பப்பட்ட தனிப்பயன் தரவு ஸ்ப்ளங்க் நிகழ்வுகள் என்று அழைக்கப்படுகிறது. இந்த தரவு எந்த வடிவத்திலும் இருக்கலாம், எடுத்துக்காட்டாக: ஒரு சரம், எண் அல்லது JSON பொருள்.

ஸ்ப்ளங்கில் நிகழ்வுகள் எப்படி இருக்கும் என்பதைக் காண்பிக்கிறேன்:

மேலே உள்ள ஸ்கிரீன்ஷாட்டில் நீங்கள் காணக்கூடியது போல, இயல்புநிலை புலங்கள் (ஹோஸ்ட், மூல, சோர்செடைப் மற்றும் நேரம்) உள்ளன, அவை குறியீட்டுக்குப் பிறகு சேர்க்கப்படுகின்றன. இந்த இயல்புநிலை புலங்களை புரிந்துகொள்வோம்:

1. ஹோஸ்ட்: ஹோஸ்ட் என்பது ஒரு இயந்திரம் அல்லது தரவு வரும் இடத்திலிருந்து ஒரு பயன்பாட்டு ஐபி முகவரி பெயர். மேலே உள்ள ஸ்கிரீன்ஷாட்டில்,என்-இயந்திரம்புரவலன்.
2. ஆதாரம்: புரவலன் தரவு எங்கிருந்து வருகிறது என்பது மூலமாகும். இது முழு பாதை பெயர் அல்லது ஒரு கணினியில் ஒரு கோப்பு அல்லது அடைவு.
   உதாரணத்திற்கு:சி: Splunkemp_data.txt
3. Sourcetype: தரவுகளின் வடிவம், இது ஒரு பதிவு கோப்பு, எக்ஸ்எம்எல், சிஎஸ்வி அல்லது ஒரு நூல் புலம் என்பதை சூர்செடிப் அடையாளம் காட்டுகிறது. இது நிகழ்வின் தரவு கட்டமைப்பைக் கொண்டுள்ளது.
   உதாரணத்திற்கு:பணியாளர்_ தரவு
4. அட்டவணை: இது மூல தரவு அட்டவணையிடப்பட்ட குறியீட்டின் பெயர். நீங்கள் எதையும் குறிப்பிடவில்லை என்றால், அது இயல்புநிலை குறியீட்டுக்கு செல்லும்.
5. நேரம்: இது ஒரு புலம், இது நிகழ்வு உருவாக்கப்பட்ட நேரத்தைக் காட்டுகிறது. இது ஒவ்வொரு நிகழ்விலும் பார்கோடு செய்யப்பட்டுள்ளது மற்றும் மாற்ற முடியாது. அதன் விளக்கக்காட்சியை மாற்றுவதற்காக நீங்கள் அதை ஒரு குறிப்பிட்ட காலத்திற்கு மறுபெயரிடலாம் அல்லது வெட்டலாம்.
   உதாரணத்திற்கு:3/4/16 7:53:51ஒரு குறிப்பிட்ட நிகழ்வின் நேர முத்திரையைக் குறிக்கிறது.

இப்போது, ​​ஒத்த நிகழ்வுகளை தொகுக்க ஸ்ப்ளங்க் நிகழ்வு வகைகள் உங்களுக்கு எவ்வாறு உதவுகின்றன என்பதை அறியலாம்.

நிகழ்வு வகைகள்

உங்களிடம் பணியாளர் பெயர் மற்றும் ஒரு சரம் இருப்பதாக வைத்துக் கொள்ளுங்கள்பணியாளர் ஐடிக்குதனித்தனியாக தேடுவதை விட ஒற்றை தேடல் வினவலைப் பயன்படுத்தி சரத்தைத் தேட விரும்புகிறீர்கள். ஸ்ப்ளங்க் நிகழ்வு வகைகள் இங்கே உங்களுக்கு உதவக்கூடும். அவை இந்த இரண்டு தனித்தனி ஸ்ப்ளங்க் நிகழ்வுகளை தொகுக்கின்றன, மேலும் இந்த சரத்தை ஒற்றை நிகழ்வு வகையாக (பணியாளர்_விவரம்) சேமிக்கலாம்.

• ஸ்ப்ளங்க் நிகழ்வு வகை என்பது தரவுகளின் தொகுப்பைக் குறிக்கிறது, இது பொதுவான பண்புகளின் அடிப்படையில் நிகழ்வுகளை வகைப்படுத்த உதவுகிறது.
• இது ஒரு பயனர் வரையறுக்கப்பட்ட புலம், இது பெரிய அளவிலான தரவை ஸ்கேன் செய்து தேடல் முடிவுகளை டாஷ்போர்டுகளின் வடிவத்தில் வழங்குகிறது. தேடல் முடிவுகளின் அடிப்படையில் விழிப்பூட்டல்களையும் உருவாக்கலாம்.

நிகழ்வு வகையை வரையறுக்கும்போது நீங்கள் ஒரு குழாய் எழுத்து அல்லது துணைத் தேடலைப் பயன்படுத்த முடியாது என்பதை நினைவில் கொள்க. ஆனால், ஒன்று அல்லது அதற்கு மேற்பட்ட குறிச்சொற்களை நிகழ்வு வகையுடன் இணைக்கலாம்.இப்போது, ​​இந்த ஸ்ப்ளங்க் நிகழ்வு வகைகள் எவ்வாறு உருவாக்கப்படுகின்றன என்பதைக் கற்றுக்கொள்வோம்.
நிகழ்வு வகையை உருவாக்க பல வழிகள் உள்ளன:

1. தேடலைப் பயன்படுத்துதல்
2. பில்ட் நிகழ்வு வகை பயன்பாட்டைப் பயன்படுத்துதல்
   
3. ஸ்ப்ளங்க் வலையைப் பயன்படுத்துதல்
   
4. உள்ளமைவு கோப்புகள் (eventtypes.conf)

அதை சரியாகப் புரிந்துகொள்ள இன்னும் விரிவாகப் பார்ப்போம்:

ஒன்று. தேடலைப் பயன்படுத்துதல்: எளிய தேடல் வினவலை எழுதுவதன் மூலம் நிகழ்வு வகையை உருவாக்கலாம்.
ஒன்றை உருவாக்க பின்வரும் படிகளில் செல்லுங்கள்:
> தேடல் சரத்துடன் தேடலை இயக்கவும்
எடுத்துக்காட்டுக்கு: குறியீட்டு = emp_details emp_id = 3
> சேமி எனக் கிளிக் செய்து நிகழ்வு வகையைத் தேர்ந்தெடுக்கவும்.
சிறந்த புரிதலைப் பெற கீழேயுள்ள ஸ்கிரீன்ஷாட்டைப் பார்க்கலாம்:

2. பில்ட் நிகழ்வு வகை பயன்பாட்டைப் பயன்படுத்துதல்: தேடல் மூலம் திரும்பிய ஸ்ப்ளங்க் நிகழ்வுகளின் அடிப்படையில் நிகழ்வு வகைகளை மாறும் வகையில் உருவாக்க நிகழ்வு வகை பயன்பாடு உங்களுக்கு உதவுகிறது. நிகழ்வு வகைகளுக்கு குறிப்பிட்ட வண்ணங்களை ஒதுக்க இந்த பயன்பாடு உங்களுக்கு உதவுகிறது.

உங்கள் தேடல் முடிவுகளில் இந்த பயன்பாட்டை நீங்கள் காணலாம். பின்வரும் படிகளைப் பார்ப்போம்:
படி 1: கீழ்தோன்றும் நிகழ்வு மெனுவைத் திறக்கவும்
படி 2: நிகழ்வு நேர முத்திரைக்கு அடுத்து கீழ் அம்புக்குறியைக் கண்டறியவும்
படி 3: நிகழ்வு வகையை உருவாக்கு என்பதைக் கிளிக் செய்க
மேலே உள்ள ஸ்கிரீன்ஷாட்டில் காட்டப்படும் ‘நிகழ்வு வகையை உருவாக்கு’ என்பதைக் கிளிக் செய்தவுடன், அது ஒரு குறிப்பிட்ட தேடலின் அடிப்படையில் தேர்ந்தெடுக்கப்பட்ட நிகழ்வுகளின் தொகுப்பைத் தரும்.

3. ஸ்ப்ளங்க் வலையைப் பயன்படுத்துதல்: நிகழ்வு வகையை உருவாக்க இது எளிதான வழி.
இதற்காக, நீங்கள் இந்த வழிமுறைகளைப் பின்பற்றலாம்:
Settings அமைப்புகளுக்குச் செல்லவும்
Ev Ev க்கு செல்லவும்இருக்கிறதுnt வகைகள்
New புதியதைக் கிளிக் செய்க

அதை எளிதாக்குவதற்கு அதே பணியாளர் உதாரணத்தை எடுத்துக்கொள்கிறேன்.
இந்த விஷயத்தில் தேடல் வினவல் ஒரே மாதிரியாக இருக்கும்:
குறியீட்டு = emp_details emp_id = 3

சிறந்த புரிதலைப் பெற கீழேயுள்ள ஸ்கிரீன்ஷாட்டைப் பார்க்கவும்:

நான்கு. உள்ளமைவு கோப்புகள் (eventtypes.conf): Ty SPLUNK_HOME / etc / system / local இல் eventtypes.conf உள்ளமைவு கோப்பை நேரடியாக திருத்துவதன் மூலம் நிகழ்வு வகைகளை உருவாக்கலாம்.
எடுத்துக்காட்டுக்கு: “பணியாளர்_விவரம்”
சிறந்த புரிதலைப் பெற கீழேயுள்ள ஸ்கிரீன்ஷாட்டைப் பார்க்கவும்:

இப்போது, ​​நிகழ்வு வகைகள் எவ்வாறு உருவாக்கப்படுகின்றன மற்றும் காண்பிக்கப்படுகின்றன என்பதை நீங்கள் புரிந்துகொண்டிருப்பீர்கள். அடுத்து, ஸ்ப்ளங்க் குறிச்சொற்களை எவ்வாறு பயன்படுத்தலாம் மற்றும் அவை உங்கள் தரவுகளுக்கு எவ்வாறு தெளிவுபடுத்துகின்றன என்பதைக் கற்றுக்கொள்வோம்.

குறிச்சொற்கள்

ஒரு குறிச்சொல் பொதுவாக என்ன அர்த்தம் என்பதை நீங்கள் அறிந்திருக்க வேண்டும். ஒரு இடுகை அல்லது புகைப்படத்தில் நண்பர்களைக் குறிக்க பேஸ்புக்கில் குறிச்சொல் அம்சத்தை நம்மில் பெரும்பாலோர் பயன்படுத்துகிறோம். ஸ்ப்ளங்கில் கூட, டேக்கிங் இதேபோன்ற பாணியில் செயல்படுகிறது. இதை ஒரு எடுத்துக்காட்டுடன் புரிந்துகொள்வோம். ஒரு ஸ்ப்ளங்க் குறியீட்டுக்கான எம்ப்_ஐடி புலம் எங்களிடம் உள்ளது. இப்போது, ​​நீங்கள் emp_id = 2 புலம் / மதிப்பு ஜோடிக்கு ஒரு குறிச்சொல்லை (பணியாளர் 2) வழங்க விரும்புகிறீர்கள். Emp_id = 2 க்கான குறிச்சொல்லை நாம் உருவாக்கலாம், அதை இப்போது பணியாளர் 2 ஐப் பயன்படுத்தி தேடலாம்.

• குறிப்பிட்ட புலங்கள் மற்றும் மதிப்பு சேர்க்கைகளுக்கு பெயர்களை ஒதுக்க ஸ்ப்ளங்க் குறிச்சொற்கள் பயன்படுத்தப்படுகின்றன.
• தேடும்போது முடிவுகளை ஜோடியாகப் பெறுவது எளிமையான முறையாகும். எந்தவொரு நிகழ்வு வகையிலும் விரைவான முடிவுகளைப் பெற பல குறிச்சொற்களைக் கொண்டிருக்கலாம்.
• இது தேட உதவுகிறதுநிகழ்வு தரவின் குழுக்கள் மிகவும் திறமையாக.
• குறிச்சொல் முக்கிய மதிப்பு ஜோடியில் செய்யப்படுகிறது, இது ஒரு குறிப்பிட்ட நிகழ்வு தொடர்பான தகவல்களைப் பெற உதவுகிறது, அதேசமயம் ஒரு நிகழ்வு வகை அதனுடன் தொடர்புடைய அனைத்து ஸ்ப்ளங்க் நிகழ்வுகளின் தகவல்களையும் வழங்குகிறது.
• ஒற்றை மதிப்புக்கு பல குறிச்சொற்களையும் ஒதுக்கலாம்.
  

ஒரு ஸ்ப்ளங்க் குறிச்சொல்லை உருவாக்க வலது பக்கத்தில் உள்ள ஸ்கிரீன் ஷாட்டைப் பாருங்கள்.

அமைப்புகள் -> குறிச்சொற்களுக்குச் செல்லவும்

பெயர்வெளியைப் பயன்படுத்துதல் c ++

இப்போது, ​​ஒரு குறிச்சொல் எவ்வாறு உருவாக்கப்படுகிறது என்பதை நீங்கள் புரிந்துகொண்டிருக்கலாம். ஸ்ப்ளங்க் குறிச்சொற்கள் எவ்வாறு நிர்வகிக்கப்படுகின்றன என்பதை இப்போது புரிந்துகொள்வோம். அமைப்புகளின் கீழ் குறிச்சொல் பக்கத்தில் மூன்று காட்சிகள் உள்ளன:
1. புல மதிப்பு ஜோடி மூலம் பட்டியல்
குறிச்சொல் பெயரால் பட்டியலிடுங்கள்
3. அனைத்து தனிப்பட்ட குறிச்சொல் பொருள்கள்

மேலும் விவரங்களுக்கு வருவோம் மற்றும் நிர்வகிக்க பல்வேறு வழிகளைப் புரிந்துகொள்வோம்குறிச்சொற்கள் மற்றும் புலம் / மதிப்பு ஜோடிகளுக்கு இடையில் செய்யப்படும் சங்கங்களுக்கு விரைவான அணுகலைப் பெறுங்கள்.

ஒன்று. புல மதிப்பு ஜோடி அடிப்படையில் பட்டியல்: புலம் / மதிப்பு ஜோடிக்கான குறிச்சொற்களின் தொகுப்பை மதிப்பாய்வு செய்ய அல்லது வரையறுக்க இது உங்களுக்கு உதவுகிறது. ஒரு குறிப்பிட்ட குறிச்சொல்லுக்கு அத்தகைய ஜோடிகளின் பட்டியலை நீங்கள் காணலாம்.
சிறந்த புரிதலைப் பெற கீழேயுள்ள ஸ்கிரீன்ஷாட்டைப் பார்க்கவும்:

2. குறிச்சொல் பெயரால் பட்டியல்: புலம் / மதிப்பு ஜோடிகளின் தொகுப்புகளை மதிப்பாய்வு செய்து திருத்த இது உங்களுக்கு உதவுகிறது. ஒரு குறிப்பிட்ட குறிச்சொல்லிற்கான புலம் / மதிப்பு இணைப்பின் பட்டியலை ‘குறிச்சொல் பெயரால் பட்டியலிடு’ பார்வைக்குச் சென்று குறிச்சொல் பெயரைக் கிளிக் செய்க. இது உங்களை குறிச்சொல்லின் விவரம் பக்கத்திற்கு அழைத்துச் செல்கிறது.
எடுத்துக்காட்டு: பணியாளர் 2 குறிச்சொல்லின் விவரம் பக்கத்தைத் திறக்கவும்.
சிறந்த புரிதலைப் பெற கீழேயுள்ள ஸ்கிரீன்ஷாட்டைப் பார்க்கவும்:

3. அனைத்து தனிப்பட்ட குறிச்சொல் பொருள்கள்: உங்கள் கணினியில் உள்ள அனைத்து தனிப்பட்ட குறிச்சொல் பெயர்கள் மற்றும் புலம் / மதிப்பு இணைப்புகளை வழங்க இது உங்களுக்கு உதவுகிறது. ஒரு குறிப்பிட்ட குறிச்சொல்லுடன் தொடர்புடைய அனைத்து புலம் / மதிப்பு ஜோடிகளையும் விரைவாகக் காணலாம். ஒரு குறிப்பிட்ட குறிச்சொல்லை இயக்க அல்லது முடக்க, அனுமதிகளை எளிதாக பராமரிக்கலாம்.

சிறந்த புரிதலைப் பெற கீழேயுள்ள ஸ்கிரீன்ஷாட்டைப் பார்க்கவும்:

இப்போது, ​​குறிச்சொற்களைத் தேட 2 வழிகள் உள்ளன:

• எந்தவொரு துறையிலும் ஒரு மதிப்புடன் தொடர்புடைய குறிச்சொல்லை நாம் தேட வேண்டுமானால், நாம் பயன்படுத்தலாம்:
  குறிச்சொல் =
  மேலே உள்ள எடுத்துக்காட்டில், இது: குறிச்சொல் = பணியாளர் 2
• ஒரு குறிப்பிட்ட புலத்தில் மதிப்புடன் தொடர்புடைய குறிச்சொல்லை நாங்கள் தேடுகிறோம் என்றால், இதைப் பயன்படுத்தலாம்:
  குறிச்சொல் :: =
  மேலே உள்ள எடுத்துக்காட்டில், இது: குறிச்சொல் :: emp_id = பணியாளர் 2

இந்த வலைப்பதிவில், உங்கள் தேடல்களை எளிதாக்க உதவும் மூன்று அறிவு பொருள்களை (ஸ்ப்ளங்க் நிகழ்வுகள், நிகழ்வு வகை மற்றும் குறிச்சொற்கள்) விளக்கினேன். எனது அடுத்த வலைப்பதிவில், ஸ்ப்ளங்க் புலங்கள், புலம் பிரித்தெடுத்தல் எவ்வாறு செயல்படுகிறது மற்றும் ஸ்ப்ளங்க் தேடல்கள் போன்ற இன்னும் சில அறிவுப் பொருள்களை நான் விளக்குகிறேன். அறிவுப் பொருள்களில் எனது இரண்டாவது வலைப்பதிவைப் படித்து மகிழ்ந்தீர்கள் என்று நம்புகிறேன்.

ஸ்ப்ளங்கைக் கற்றுக் கொண்டு அதை உங்கள் வணிகத்தில் செயல்படுத்த விரும்புகிறீர்களா? எங்கள் பாருங்கள் இங்கே, இது பயிற்றுவிப்பாளர் தலைமையிலான நேரடி பயிற்சி மற்றும் நிஜ வாழ்க்கை திட்ட அனுபவத்துடன் வருகிறது.