Splunk 简明教程

Splunk - Source Types

所有传入 Splunk 的数据首先由其内置数据处理单元进行判断,并分类为某些数据类型和类别。例如,如果它来自 Apache Web 服务器的日志,Splunk 能够识别它,并从读取的数据中创建适当的字段。

Splunk 中的这一功能被称为“来源类型检测”,它利用其内置的、被称作“预训练模型”的来源类型来实现此目的。

这让分析变得更为简单,因为用户不必手动对数据进行分类和将任何类型的数据分配给传入数据的字段。

Supported Source Types

可以通过 Add Data 功能上传文件,然后选择来源类型的下拉列表,查看 Splunk 中支持的来源类型。在下图中,我们上传了一个 CSV 文件,然后选中了所有可用选项。

image::https://www.iokays.com/tutorialspoint/splunk/_images/source_type_1.jpg [Source Type1]

Source Type Sub-Category

即便在那些类别中,我们也可以进一步点击查看支持的所有子类别。因此,当选择数据库类别时,你会发现 Splunk 可以识别的不同类型的数据库及它们支持的文件。

image::https://www.iokays.com/tutorialspoint/splunk/_images/source_type_2.jpg [Source Type2]

Pre-Trained Source Types

下表列出了 Splunk 识别的部分重要预训练来源类型:

Source Type Name

Nature

access_combined

NCSA 组合格式 http Web 服务器日志(可以由 Apache 或其他 Web 服务器生成)

access_combined_wcookie

NCSA 组合格式 http Web 服务器日志(可以由 Apache 或其他 Web 服务器生成),并附加了 cookie 字段

apache_error

标准 Apache Web 服务器错误日志

linux_messages_syslog

标准 Linux syslog(大多数平台中的 /var/log/messages)

log4j

Log4j 标准输出由任何使用 log4j 的 J2EE 服务器生成

mysqld_error

Standard mysql error log