Splunk - Tipos de Eventos
Na pesquisa do Splunk, podemos projetar nossos próprios eventos a partir de um conjunto de dados com base em determinados critérios. Por exemplo, procuramos apenas os eventos que têm um código de status http de 200. Este evento agora pode ser salvo como um tipo de evento com um nome definido pelo usuário comostatus200 e use este nome de evento como parte de pesquisas futuras.
Resumindo, um tipo de evento representa uma pesquisa que retorna um tipo específico de evento ou uma coleção útil de eventos. Cada evento que pode ser retornado pela pesquisa obtém uma associação com aquele tipo de evento.
Criação de tipo de evento
Existem duas maneiras de criar um tipo de evento depois de decidirmos os critérios de pesquisa. Um é pararunuma pesquisa e salve-a como um tipo de evento. Outra éadd a new Event Type from the settings tab. Veremos as duas maneiras de criá-lo nesta seção.
Usando uma Pesquisa
Considere a pesquisa de eventos que têm os critérios de valor de status HTTP bem-sucedido de 200 e o tipo de evento executado em uma quarta-feira. Depois de executar a consulta de pesquisa, podemos escolherSave As opção para salvar a consulta como um tipo de evento.
A próxima tela pede para dar um nome para o Tipo de Evento, escolha um Tag que é opcional e então escolha uma cor com a qual os eventos serão destacados. A opção de prioridade decide qual tipo de evento será exibido primeiro, caso dois ou mais tipos de evento correspondam ao mesmo evento.
Finalmente, podemos ver que o tipo de evento foi criado acessando o Settings → Event Types opção.
Usando Novo Tipo de Evento
A outra opção para criar um novo tipo de evento é usar o Settings → Event Types opção conforme mostrado abaixo, onde podemos adicionar um novo tipo de evento -
Ao clicar no botão New Event Type obtemos a tela a seguir para adicionar a mesma consulta da seção anterior.
Visualizando o Tipo de Evento
Para visualizar o evento que acabamos de criar acima, podemos escrever a consulta de pesquisa abaixo na caixa de pesquisa e podemos ver os eventos resultantes junto com a cor que escolhemos para o tipo de evento.
Usando o tipo de evento
Podemos usar o tipo de evento junto com outras consultas. Aqui especificamos alguns critérios parciais do Tipo de evento e o resultado é uma mistura de eventos que mostra os eventos coloridos e não coloridos no resultado.
