📅 最后修改于: 2020-11-29 08:10:36 🧑 作者: Mango
Splunk知识管理涉及为Splunk Enterprise实施维护知识对象。
以下是知识管理的主要特征–
确保知识对象由组织中的正确人群共享和使用。
通过实现知识对象的命名约定并淘汰重复或过时的对象来规范事件数据。
监督改善搜索和数据透视性能的策略(报告加速,数据模型加速,摘要索引,批处理模式搜索)。
为Pivot用户构建数据模型。
它是一个Splunk对象,用于获取有关您的数据的特定信息。创建知识对象时,可以将其保持私有状态,也可以与其他用户共享。知识对象的示例包括:保存的搜索,标签,字段提取,查找等。
使用Splunk软件时,将创建并保存知识对象。但是它们可能包含重复的信息,或者可能不会被所有目标受众有效地使用。为了解决这些问题,我们需要管理这些对象。这是通过对它们进行正确分类,然后使用适当的权限管理来处理它们来完成的。以下是各种知识对象的用途和分类-
字段和字段提取是Splunk软件知识的第一层。从Splunk软件自动从IT数据中提取的字段有助于为原始数据带来意义。手动提取的字段扩展并改进了这一层含义。
使用事件类型和事务将有趣的相似事件集合在一起。事件类型将通过搜索发现的事件集组合在一起。事务是跨越时间的与概念相关的事件的集合。
查找和工作流操作是知识对象的类别,这些知识对象以各种方式扩展了数据的用途。字段查找使您可以从外部数据源(例如静态表(CSV文件)或基于Python的命令)向数据中添加字段。工作流操作使您可以在数据中的字段与其他应用程序或Web资源之间进行交互,例如在包含IP地址的字段上进行WHOIS查找。
标签和别名用于管理和规范化字段信息集。您可以使用标签和别名将一组相关字段值组合在一起,并给出反映其身份不同方面的提取的字段标签。例如,您可以通过为每个主机提供相同的标签,将特定位置(例如建筑物或城市)中的一组主机中的事件组合在一起。
如果您有两个使用不同字段名称来引用相同数据的不同源,则可以使用别名(例如,将clientip别名为ipaddress)来标准化数据。
数据模型表示一个或多个数据集,它们驱动Pivot工具,使Pivot用户无需与Splunk软件搜索语言进行交互即可快速生成有用的表,复杂的可视化效果和可靠的报告。数据模型是由知识管理员设计的,他们完全了解索引数据的格式和语义。典型的数据模型利用其他知识对象类型。
我们将在后续章节中讨论这些知识对象的一些示例。