Splunk 知识对象：Splunk 事件、事件类型和标签

在我之前的博客中，我谈到了与报告和可视化数据相关的3 个 Knowledge 对象：Splunk Timechart、Data model 和 Alert。在本博客中，我将解释 Splunk 事件、事件类型和 Splunk 标签。这些知识对象有助于丰富您的数据，使其更易于搜索和报告。通过Splunk 认证了解有关 Splunk 的所有信息。
因此，让我们开始使用 Splunk Events。

Splunk 事件

事件是指任何单独的数据。已转发到 Splunk Server 的自定义数据称为 Splunk 事件。此数据可以是任何格式，例如：字符串、数字或 JSON 对象。

让我向您展示事件在 Splunk 中的外观：

正如您在上面的屏幕截图中看到的，索引后添加了默认字段（主机、来源、来源类型和时间）。让我们了解这些默认字段：

1. 主机：主机是数据来源的机器或设备 IP 地址名称。在上面的屏幕截图中，My-Machine是主机。
2. 来源：来源是主机数据的来源。它是机器内的完整路径名或文件或目录。例如：C:Splunkemp_data.txt 
   
3. Sourcetype：Sourcetype 标识数据的格式，无论是日志文件、XML、CSV 还是线程字段。它包含事件的数据结构。例如：employee_data
   
4. 索引：它是原始数据被索引的索引的名称。如果您不指定任何内容，它将进入默认索引。
5. 时间：它是一个显示事件生成时间的字段。每个事件都有条形码，不能更改。您可以将其重命名或切片一段时间以更改其呈现方式。例如：3/4/16 7:53:51表示特定事件的时间戳。
   

现在，让我们了解 Splunk 事件类型如何帮助您对类似事件进行分组。

Splunk 事件类型

假设你有一个包含员工姓名和一个字符串员工ID 一次你想使用一个单一的搜索查询，而不是单独搜索他们搜索的字符串。Splunk 事件类型可以在此处为您提供帮助。它们将这两个单独的 Splunk 事件分组，您可以将此字符串保存为单个事件类型 (Employee_Detail)。

• Splunk 事件类型是指有助于根据共同特征对事件进行分类的数据集合。
• 它是一个用户定义的字段，它扫描大量数据并以仪表板的形式返回搜索结果。您还可以根据搜索结果创建警报。

请注意，在定义事件类型时不能使用管道字符或子搜索。但是，您可以将一个或多个标签与一种事件类型相关联。 现在，让我们了解如何创建这些 Splunk 事件类型。
有多种方法可以创建事件类型：

1. 使用搜索
2. 使用构建事件类型实用程序
   
3. 使用 Splunk Web
   
4. 配置文件（eventtypes.conf）

让我们更详细地了解它：1.使用搜索：我们可以通过编写一个简单的搜索查询来创建一个事件类型。通过以下步骤创建一个：> 使用搜索字符串运行搜索例如：index=emp_details emp_id=3; > 单击另存为并选择事件类型。您可以参考以下屏幕截图以获得更好的理解：

2.使用构建事件类型实用程序：构建事件类型实用程序使您能够根据搜索返回的 Splunk 事件动态创建事件类型。此实用程序还使您能够为事件类型分配特定颜色。您可以在搜索结果中找到此实用程序。让我们完成以下步骤： Step1：打开下拉事件菜单 Step2：找到事件时间戳旁边的向下箭头Step3：单击构建事件类型单击上面屏幕截图中显示的“构建事件类型”后，它将返回基于特定搜索选择的一组事件。

3. 使用 Splunk Web：这是创建事件类型的最简单方法。
对于这一点，你可以按照下列步骤操作：
»进入设置
»导航到EV è NT类型
»单击新建

让我以同一个员工为例来说明问题。
在这种情况下，搜索查询将相同：
index=emp_details emp_id=3

请参阅以下屏幕截图以获得更好的理解：

4.配置文件（eventtypes.conf）： 您可以通过直接编辑$SPLUNK_HOME/etc/system/local中的eventtypes.conf配置文件来创建事件类型
例如：“Employee_Detail”
参考下面的截图以获得更好的理解：

到现在为止，您应该已经了解事件类型是如何创建和显示的。接下来，让我们了解如何使用 Splunk 标签以及它们如何使您的数据变得清晰。

Splunk 标签您必须了解标签的一般含义。我们大多数人使用 Facebook 中的标记功能在帖子或照片中标记朋友。即使在 Splunk 中，标记也以类似的方式工作。让我们通过一个例子来理解这一点。我们有一个用于 Splunk 索引的 emp_id 字段。现在，您想为 emp_id=2 字段/值对提供一个标签 (Employee2)。我们可以为 emp_id=2 创建一个标签，现在可以使用 Employee2 进行搜索。

• Splunk 标签用于为特定字段和值组合分配名称。
• 这是在搜索时成对获得结果的最简单方法。任何事件类型都可以有多个标签以获得快速结果。  
• 它有助于更有效地搜索事件数据组。 
• 标记是在键值对上完成的，这有助于获取与特定事件相关的信息，而事件类型提供与其关联的所有 Splunk 事件的信息。 
• 您还可以将多个标签分配给一个值。
  

查看右侧的屏幕截图以创建 Splunk 标签。

转到设置 -> 标签

现在，您可能已经了解如何创建标签。现在让我们了解 Splunk 标签的管理方式。在设置下的标签页有三个视图：
1. 按字段值对列出 2. 按标签名称列出3. 所有唯一的标签对象

让我们深入了解更多细节并了解管理和快速访问标记和字段/值对之间的关​​联的不同方法。
1.按字段值对列出：这有助于您查看或定义字段/值对的一组标签。您可以查看特定标签的此类配对列表。请参阅以下屏幕截图以获得更好的理解：

 2. 按标签名称列出：它可以帮助您查看和编辑字段/值对的集合。您可以通过转到“按标签名称列表”视图找到特定标签的字段/值配对列表，然后单击标签名称。这会将您带到标签的详细信息页面。示例：打开员工 2 标签的详细信息页面。请参阅以下屏幕截图以获得更好的理解：

3.所有唯一标签对象：它帮助您提供系统中所有唯一标签名称和字段/值对。您可以搜索特定标签以快速查看与其关联的所有字段/值对。您可以轻松维护权限，以启用或禁用特定标签。

请参阅以下屏幕截图以获得更好的理解：

现在，有两种方法可以搜索标签：

• 如果我们需要在任何字段中搜索与某个值相关联的标签，我们可以使用：
  tag=<tagname>
  在上面的例子中，它会是：tag=employee2
• 如果我们正在寻找与指定字段中的值相关联的标签，我们可以使用：
  tag::<field>=<tagname>
  在上面的例子中，它会是： tag::emp_id=employee2

在此博客中，我解释了有助于使您的搜索更轻松的三个知识对象（Splunk 事件、事件类型和标签）。在我的下一篇博客中，我将解释更多的知识对象，例如 Splunk 字段、字段提取的工作原理和 Splunk 查找。