Splunk 简明教程
Splunk - Knowledge Management
Splunk 知识管理是关于维护 Splunk Enterprise 实现的知识对象。
下面是 main features of knowledge management −
-
确保知识对象正在由组织中正确的人员组共享和使用。
-
通过实施知识对象命名规范和取消重复或过时的对象来规范事件数据。
-
监督改善搜索和透视性能的策略(报表加速、数据模型加速、汇总索引、批处理模式搜索)。
-
为透视用户构建数据模型。
Knowledge Object
它是一个 Splunk 对象,用于获取有关您数据的特定信息。在创建知识对象时,您可以将其保留为私有,也可以与其他用户共享。知识对象的示例有:已保存的搜索、标记、字段提取、查找等。
Uses of Knowledge Objects
在使用 Splunk 软件时,将会创建和保存知识对象。但是,它们可能包含重复信息,或者所有预定受众都无法有效地使用它们。为了解决此类问题,我们需要管理这些对象。通过正确分类它们,然后使用适当的权限管理对其进行处理来实现此目的。以下是各种知识对象的使用和分类 −
Fields and field extractions
字段和字段提取是 Splunk 软件知识的第一层。从 Splunk 软件中从 IT 数据自动提取的字段有助于为原始数据赋予意义。手动提取的字段会扩展并改进这一层含义。
Lookups and workflow actions
查找和工作流操作是知识对象类别,它们以各种方式扩展了数据的作用。字段查找使你能够从外部数据源(例如静态表 (CSV 文件) 或基于 Python 的命令)向数据添加字段。工作流操作使数据中的字段与其他应用程序或 Web 资源(例如对包含 IP 地址的字段进行 WHOIS 查找)之间的交互成为可能。