- Splunk 教程
- Splunk - 首頁
- Splunk - 概述
- Splunk - 環境
- Splunk - 介面
- Splunk - 資料攝取
- Splunk - 資料來源型別
- Splunk - 基本搜尋
- Splunk - 欄位搜尋
- Splunk - 時間範圍搜尋
- Splunk - 共享和匯出
- Splunk - 搜尋語言
- Splunk - 搜尋最佳化
- Splunk - 變換命令
- Splunk - 報表
- Splunk - 儀表盤
- Splunk - 透視表和資料集
- Splunk - 查詢表
- Splunk - 計劃和告警
- Splunk - 知識管理
- Splunk - 子搜尋
- Splunk - 搜尋宏
- Splunk - 事件型別
- Splunk - 基本圖表
- Splunk - 疊加圖表
- Splunk - 迷你圖
- Splunk - 管理索引
- Splunk - 計算欄位
- Splunk - 標籤
- Splunk - 應用
- Splunk - 刪除資料
- Splunk - 自定義圖表
- Splunk - 監控檔案
- Splunk - 排序命令
- Splunk - top 命令
- Splunk - stats 命令
- Splunk 有用資源
- Splunk - 快速指南
- Splunk - 有用資源
- Splunk - 討論
Splunk - 事件型別
在 Splunk 搜尋中,我們可以根據特定條件從資料集中設計自己的事件。例如,我們只搜尋 HTTP 狀態程式碼為 200 的事件。此事件現在可以儲存為事件型別,使用者自定義名稱為 status200,並在未來的搜尋中使用此事件名稱。
簡而言之,事件型別代表一個返回特定事件型別或有用事件集合的搜尋。每個可以被搜尋返回的事件都與該事件型別關聯。
建立事件型別
在確定搜尋條件後,有兩種方法可以建立事件型別。一種是執行搜尋,然後將其儲存為事件型別。另一種是從設定選項卡新增新的事件型別。在本節中,我們將看到這兩種建立方法。
使用搜索
考慮搜尋具有成功 HTTP 狀態值為 200 和在星期三執行的事件型別的事件。執行搜尋查詢後,可以選擇另存為選項將查詢儲存為事件型別。
下一個螢幕提示為事件型別命名,選擇可選的標籤,然後選擇用於突出顯示事件的顏色。優先順序選項決定在兩個或多個事件型別匹配同一事件的情況下,哪個事件型別將首先顯示。
最後,我們可以透過轉到設定 → 事件型別選項檢視已建立的事件型別。
使用新的事件型別
建立新事件型別的另一種方法是使用如下所示的設定 → 事件型別選項,我們可以在其中新增新的事件型別:
單擊新建事件型別按鈕,我們將獲得以下螢幕以新增與上一節相同的查詢。
檢視事件型別
要檢視我們上面建立的事件,我們可以在搜尋框中編寫以下搜尋查詢,我們可以看到結果事件以及我們為事件型別選擇的顏色。
使用事件型別
我們可以將事件型別與其他查詢一起使用。在這裡,我們指定事件型別中的一些部分條件,結果是混合事件,顯示結果中彩色和非彩色事件。
廣告