在 Splunk 搜索中,我们可以根据某些条件从数据集设计自己的事件。例如,我们仅搜索 http 状态代码为 200 的事件。此事件现在可以保存为事件类型,其中用户定义的名称为 status200 ,并将这个事件名称用作未来搜索的一部分。
简而言之,事件类型表示返回特定类型事件或有用事件集合的搜索。搜索返回的可以个事件均与该事件类型建立关联。
Creating Event Type
在确定搜索条件后,有两种方法可以创建事件类型。一种是 run 搜索,然后将其保存为事件类型。另一种是 add a new Event Type from the settings tab 。我们将在本节中了解创建这两个方法。
Using a Search
考虑条件为成功的 http 状态值为 200 且事件在周三运行的事件的搜索。在运行搜索查询后,我们可以选择 Save As 选项将查询保存为事件类型。
下一个屏幕提示输入事件类型的名称,选择一个标记(此为可选),然后选择一种颜色来突出显示事件。优先级选项决定了在两个或多个事件类型与同一事件匹配的情况下,首先显示哪个事件类型。
最后,我们可以通过转到 Settings → Event Types 选项来查看已创建的事件类型。
Using New Event Type
创建新事件类型的另一个选项是使用 Settings → Event Types 选项,如下所示,其中我们可以添加一个新事件类型 −
单击按钮 New Event Type 后,我们将获得以下屏幕,以添加与上一部分中相同的查询。
Viewing the Event Type
要查看我们刚才创建的事件,可以在搜索框中编写以下搜索查询,并且可以看到结果事件以及我们为事件类型选择的颜色。
Using the Event Type
我们可以将 Event 类型与其他查询一同使用。此处,我们从 Event 类型指定了一些部分标准,结果中会混有各种事件,显示结果中带有颜色和不带有颜色的事件。
