Splunk - Tags

As tags são usadas para atribuir nomes a combinações específicas de campo e valor. Esses campos podem ser tipo de evento, host, fonte ou tipo de fonte, etc. Você também pode usar uma tag para agrupar um conjunto de valores de campo, de forma que você possa pesquisá-los com um comando. Por exemplo, você pode marcar todos os arquivos diferentes gerados na segunda-feira para uma marca chamada mon_files.

Para encontrar o par campo-valor que iremos marcar, precisamos expandir os eventos e localizar o campo a ser considerado. A imagem abaixo mostra como podemos expandir um evento para ver os campos -

Criação de tags

Podemos criar tags adicionando o valor da tag ao par de valores de campo usando Edit Tagsopção como mostrado abaixo. Escolhemos o campo na coluna Ações.

A próxima tela nos pede para definir a tag. Para o campo Status, escolhemos o valor de status 503 ou 505 e atribuímos uma tag chamada server_error conforme mostrado abaixo. Temos que fazer isso um por um, escolhendo dois eventos, cada um com os eventos com valor de status 503 e 505. A imagem abaixo mostra o método para o valor de status como 503. Temos que repetir as mesmas etapas para um evento com valor de status como 505.

Pesquisando usando tags

Uma vez que as tags são criadas, podemos pesquisar os eventos que contêm a tag simplesmente escrevendo o nome da tag na barra de pesquisa. Na imagem abaixo, vemos todos os eventos que possuem status: 503 ou 505.