Splunk - 資料型別

上一頁
下一頁

所有進入 Splunk 的資料首先由其內建的資料處理單元進行判斷,並分類到特定的資料型別和類別。例如,如果它來自 Apache Web 伺服器的日誌,Splunk 能夠識別這一點並根據讀取的資料建立相應的欄位。

Splunk 中的此功能稱為源型別檢測,它使用其內建的源型別(稱為“預訓練”源型別)來實現此目的。

這使得分析更容易,因為使用者不必手動對資料進行分類並將任何資料型別分配給傳入資料的欄位。

支援的源型別

透過新增資料功能上傳檔案,然後選擇源型別的下拉選單,可以檢視 Splunk 中支援的源型別。在下圖中,我們上傳了一個 CSV 檔案,然後檢查了所有可用的選項。

Source Type1

源型別子類別

即使在這些類別中,我們也可以進一步點選檢視所有支援的子類別。因此,當您選擇資料庫類別時,您可以找到不同型別的資料庫及其 Splunk 可以識別的支援檔案。

Source Type2

預訓練源型別

下表列出了一些 Splunk 識別的重要預訓練源型別:

源型別名稱 性質
access_combined NCSA 組合格式 http web 伺服器日誌(可以由 Apache 或其他 web 伺服器生成)
access_combined_wcookie NCSA 組合格式 http web 伺服器日誌(可以由 Apache 或其他 web 伺服器生成),在末尾添加了 cookie 欄位
apache_error 標準 Apache web 伺服器錯誤日誌
linux_messages_syslog 標準 Linux syslog(大多數平臺上的 /var/log/messages)
log4j 使用 log4j 的任何 J2EE 伺服器生成的 Log4j 標準輸出
mysqld_error 標準 MySQL 錯誤日誌
列印頁面
上一頁
下一頁
廣告