- Splunk 教程
- Splunk - 首頁
- Splunk - 概述
- Splunk - 環境
- Splunk - 介面
- Splunk - 資料攝取
- Splunk - 資料來源型別
- Splunk - 基本搜尋
- Splunk - 欄位搜尋
- Splunk - 時間範圍搜尋
- Splunk - 共享和匯出
- Splunk - 搜尋語言
- Splunk - 搜尋最佳化
- Splunk - 資料轉換命令
- Splunk - 報表
- Splunk - 儀表盤
- Splunk - 透視表和資料集
- Splunk - 查詢
- Splunk - 計劃和告警
- Splunk - 知識管理
- Splunk - 子搜尋
- Splunk - 搜尋宏
- Splunk - 事件型別
- Splunk - 基本圖表
- Splunk - 疊加圖表
- Splunk - Sparklines(迷你圖)
- Splunk - 管理索引
- Splunk - 計算欄位
- Splunk - 標籤
- Splunk - 應用
- Splunk - 刪除資料
- Splunk - 自定義圖表
- Splunk - 檔案監控
- Splunk - 排序命令
- Splunk - Top 命令
- Splunk - Stats 命令
- Splunk 有用資源
- Splunk - 快速指南
- Splunk - 有用資源
- Splunk - 討論
Splunk - 知識管理
Splunk 知識管理是指維護 Splunk Enterprise 實施的知識物件。
以下是知識管理的主要功能:
確保知識物件被組織中正確的群體共享和使用。
透過實施知識物件命名約定並淘汰重複或過時的物件來規範化事件資料。
監督改進搜尋和透視效能的策略(報表加速、資料模型加速、摘要索引、批處理模式搜尋)。
為透視表使用者構建資料模型。
知識物件
它是一個 Splunk 物件,用於獲取有關您資料的特定資訊。建立知識物件時,您可以將其保留為私有,也可以與其他使用者共享。知識物件的示例包括:儲存的搜尋、標籤、欄位提取、查詢等。
知識物件的用途
在使用 Splunk 軟體時,會建立和儲存知識物件。但它們可能包含重複的資訊,或者可能無法被所有目標受眾有效地使用。為了解決這些問題,我們需要管理這些物件。這是透過對它們進行適當分類,然後使用適當的許可權管理來處理它們來完成的。以下是各種知識物件的用途和分類:
欄位和欄位提取
欄位和欄位提取是 Splunk 軟體知識的第一層。Splunk 軟體從 IT 資料中自動提取的欄位有助於為原始資料賦予意義。手動提取的欄位擴充套件並改進了這一意義層。
事件型別和事務
使用事件型別和事務將有趣的一組類似事件組合在一起。事件型別將透過搜尋發現的一組事件組合在一起。事務是在時間範圍內跨越的概念相關的事件的集合。
查詢和工作流操作
查詢和工作流操作是知識物件的類別,它們以各種方式擴充套件了資料的實用性。欄位查詢使您能夠從外部資料來源(例如靜態表(CSV 檔案)或基於 Python 的命令)向資料新增欄位。工作流操作支援資料中的欄位與其他應用程式或 Web 資源之間的互動,例如對包含 IP 地址的欄位進行 WHOIS 查詢。
標籤和別名
標籤和別名用於管理和規範化欄位資訊集。您可以使用標籤和別名將一組相關的欄位值組合在一起,併為提取的欄位標籤提供反映其身份不同方面的標籤。例如,您可以透過為每個主機分配相同的標籤,將來自特定位置(例如建築物或城市)的一組主機中的事件組合在一起。
如果您有兩個不同的資料來源使用不同的欄位名稱來引用相同的資料,則可以透過使用別名來規範化資料(例如,將 clientip 設為 ipaddress 的別名)。
資料模型
資料模型是一個或多個數據集的表示,它們驅動透視表工具,使透視表使用者能夠快速生成有用的表格、複雜的視覺化效果和強大的報表,而無需與 Splunk 軟體搜尋語言進行互動。資料模型由完全瞭解其索引資料格式和語義的知識管理員設計。典型的資料模型利用其他知識物件型別。
我們將在後續章節中討論這些知識物件的一些示例。