Splunk - ingestão de dados

A ingestão de dados no Splunk ocorre por meio do Add Datarecurso que faz parte do aplicativo de pesquisa e relatórios. Após o login, a tela inicial da interface do Splunk mostra oAdd Data ícone como mostrado abaixo.

Ao clicar neste botão, é exibida a tela para selecionar a fonte e o formato dos dados que planejamos enviar ao Splunk para análise.

Coletando os dados

Podemos obter os dados para análise no site oficial do Splunk. Salve este arquivo e descompacte-o em sua unidade local. Ao abrir a pasta, você encontrará três arquivos de diferentes formatos. Eles são os dados de log gerados por alguns aplicativos da web. Também podemos coletar outro conjunto de dados fornecidos pelo Splunk que está disponível na página oficial do Splunk.

Usaremos dados de ambos os conjuntos para compreender o funcionamento de vários recursos do Splunk.

Carregando dados

Em seguida, escolhemos o arquivo, secure.log da pasta, mailsvque mantivemos em nosso sistema local, conforme mencionado no parágrafo anterior. Depois de selecionar o arquivo, passamos para a próxima etapa usando o próximo botão verde no canto superior direito.

Seleção do tipo de fonte

O Splunk possui um recurso embutido para detectar o tipo de dados que estão sendo ingeridos. Também dá ao usuário a opção de escolher um tipo de dados diferente do escolhido pelo Splunk. Ao clicar no menu suspenso de tipo de fonte, podemos ver vários tipos de dados que o Splunk pode receber e habilitar para pesquisa.

No exemplo atual dado abaixo, escolhemos o tipo de fonte padrão.

Configurações de entrada

Nesta etapa da ingestão de dados, configuramos o nome do host a partir do qual os dados estão sendo ingeridos. A seguir estão as opções para escolher, para o nome do host -

Valor constante

É o nome completo do host onde residem os dados de origem.

regex no caminho

Quando você deseja extrair o nome do host com uma expressão regular. Em seguida, insira a regex do host que deseja extrair no campo Expressão regular.

segmento no caminho

Quando você deseja extrair o nome do host de um segmento no caminho da sua fonte de dados, insira o número do segmento no campo Número do segmento. Por exemplo, se o caminho para a fonte for / var / log / e você quiser que o terceiro segmento (o nome do servidor host) seja o valor do host, digite "3".

Em seguida, escolhemos o tipo de índice a ser criado nos dados de entrada para pesquisa. Escolhemos a estratégia de índice padrão. O índice de resumo cria apenas um resumo dos dados por meio de agregação e cria um índice nele, enquanto o índice de histórico é para armazenar o histórico de pesquisa. Está claramente representado na imagem abaixo -

Revisar configurações

Após clicar no botão seguinte, vemos um resumo das configurações que escolhemos. Nós o revisamos e escolhemos Próximo para terminar o upload dos dados.

Ao terminar o carregamento, a tela abaixo aparece, mostrando a ingestão de dados bem-sucedida e outras ações possíveis que podemos realizar nos dados.