Splunk 简明教程

Splunk - Data Ingestion

通过属于搜索和报告应用程序一部分的 Add Data 特性，可以在 Splunk 中进行数据提取。登录后，Splunk 界面主屏幕会显示 Add Data 图标，如下所示。

单击此按钮后，屏幕上会显示选择要将数据推送到 Splunk 进行分析的数据源和格式。

我们可以从 Splunk 官方网站获取数据进行分析。保存此文件，并在你的本地驱动器中解压缩。打开该文件夹后，你可以看到三个格式各异的文件。它们是某些 Web 应用程序生成的对数数据。我们还可以在 Splunk 提供的官方 Splunk 网页集合另一组数据。

我们将使用来自这两个集合的数据了解 Splunk 各项特性的工作原理。

接下来，从在上文所述的文件夹 mailsv 中选择文件 secure.log ，该文件已保存在本地系统中。选择文件后，使用右上角的绿色下一步按钮转到下一步。

Splunk 具有内置特性来检测正在提取的数据类型。它还允许用户选择不同于 Splunk 所选的数据类型。单击源类型下拉菜单，我们就可以看到 Splunk 可以提取并启用以进行搜索的各种数据类型。

在下面所示的当前示例中，我们选择默认源类型。

在此数据提取步骤中，我们配置提取数据的宿主名称。以下是主机名称可供选择的选项：

这是源数据所在位置的完整宿主名称。

当你想使用正则表达式提取宿主名称时。然后在你想要在正则表达式字段中提取的主机中输入正则表达式。

当你想从数据源路径中的某个段中提取宿主名称时，在段号字段中输入段号。例如，如果源路径是 /var/log/，并且你希望第三个段（宿主服务器名称）作为宿主值，请输入“3”。

接下来，选择要针对输入数据创建的索引类型以供搜索。我们选择默认索引策略。摘要索引仅通过聚合创建数据的摘要，并在此基础上创建索引，而历史索引用于存储搜索历史记录。如下面的图像清楚地描绘的那样：

单击下一步按钮后，我们会看到我们所选设置的摘要。我们审阅它并选择下一步以完成数据上传。

完成加载后，会显示下面的屏幕，它显示数据提取成功以及针对数据可以采取的进一步可能的措施。