Splunk 简明教程

Splunk - Knowledge Management

Splunk 知识管理是关于维护 Splunk Enterprise 实现的知识对象。

下面是 main features of knowledge management

  1. 确保知识对象正在由组织中正确的人员组共享和使用。

  2. 通过实施知识对象命名规范和取消重复或过时的对象来规范事件数据。

  3. 监督改善搜索和透视性能的策略(报表加速、数据模型加速、汇总索引、批处理模式搜索)。

  4. 为透视用户构建数据模型。

Knowledge Object

它是一个 Splunk 对象,用于获取有关您数据的特定信息。在创建知识对象时,您可以将其保留为私有,也可以与其他用户共享。知识对象的示例有:已保存的搜索、标记、字段提取、查找等。

Uses of Knowledge Objects

在使用 Splunk 软件时,将会创建和保存知识对象。但是,它们可能包含重复信息,或者所有预定受众都无法有效地使用它们。为了解决此类问题,我们需要管理这些对象。通过正确分类它们,然后使用适当的权限管理对其进行处理来实现此目的。以下是各种知识对象的使用和分类 −

Fields and field extractions

字段和字段提取是 Splunk 软件知识的第一层。从 Splunk 软件中从 IT 数据自动提取的字段有助于为原始数据赋予意义。手动提取的字段会扩展并改进这一层含义。

Event types and transactions

使用事件类型和事务对相似的事件分组。事件类型对通过搜索发现的事件组进行分组。事务是跨越时间的概念相关事件集合。

Lookups and workflow actions

查找和工作流操作是知识对象类别,它们以各种方式扩展了数据的作用。字段查找使你能够从外部数据源(例如静态表 (CSV 文件) 或基于 Python 的命令)向数据添加字段。工作流操作使数据中的字段与其他应用程序或 Web 资源(例如对包含 IP 地址的字段进行 WHOIS 查找)之间的交互成为可能。

Tags and aliases

标记和别名用于管理和规范字段信息集。你可以使用标记和别名将相关字段值集分组,并为提取的字段标记提供反映其标识符不同方面的标记。例如,你可以通过向每个主机提供相同的标记,将来自特定位置(例如建筑或城市)的一组主机的事件分组。

如果你有两个不同的来源使用不同的字段名称来指代相同的数据,那么你可以使用别名(例如将 clientip 别名为 ipaddress)来规范数据。

Data models

数据模型是一个或多个数据集的表示形式,并且它们驱动了统计透视工具,使统计透视工具用户能够快速生成有用的表格、复杂的可视化效果和强大的报表,而无需与 Splunk 软件搜索语言进行交互。数据模型由完全了解其索引数据的格式和语义的知识管理员设计。典型的知识模型使用其他知识对象类型。

我们会在随后的章节中讨论其中一些知识对象的示例。