Прием данных в Splunk происходит через функцию « Добавить данные», которая является частью приложения поиска и отчетности. После входа в систему на главном экране интерфейса Splunk отображается значок « Добавить данные», как показано ниже.
При нажатии на эту кнопку у нас появляется экран для выбора источника и формата данных, которые мы планируем передать в Splunk для анализа.
Сбор данных
Мы можем получить данные для анализа с официального сайта Splunk. Сохраните этот файл и разархивируйте его на свой локальный диск. При открытии папки вы можете найти три файла, которые имеют разные форматы. Это данные журнала, генерируемые некоторыми веб-приложениями. Мы также можем собрать другой набор данных, предоставленных Splunk, который доступен на официальной веб-странице Splunk.
Мы будем использовать данные из обоих этих наборов для понимания работы различных функций Splunk.
Загрузка данных
Затем мы выбираем файл secure.log из папки mailsv, который мы сохранили в нашей локальной системе, как упоминалось в предыдущем абзаце. После выбора файла мы переходим к следующему шагу, используя зеленую кнопку «Далее» в правом верхнем углу.
Выбор типа источника
Splunk имеет встроенную функцию для определения типа загружаемых данных. Это также дает пользователю возможность выбрать тип данных, отличный от выбранного Splunk. При нажатии на выпадающий тип источника мы видим различные типы данных, которые Splunk может принять и включить для поиска.
В текущем примере, приведенном ниже, мы выбираем тип источника по умолчанию.
Настройки ввода
На этом этапе приема данных мы настраиваем имя хоста, с которого поступают данные. Ниже приведены варианты на выбор, для имени хоста —
Постоянное значение
Это полное имя хоста, где находятся исходные данные.
регулярное выражение на пути
Когда вы хотите извлечь имя хоста с помощью регулярного выражения. Затем введите регулярное выражение для хоста, который вы хотите извлечь, в поле Регулярное выражение.
сегмент в пути
Если вы хотите извлечь имя хоста из сегмента в пути вашего источника данных, введите номер сегмента в поле Номер сегмента. Например, если путь к источнику — / var / log / и вы хотите, чтобы третий сегмент (имя хост-сервера) был значением хоста, введите «3».
Далее мы выбираем тип индекса, который будет создан на входных данных для поиска. Мы выбираем стратегию индекса по умолчанию. Сводный индекс создает только сводку данных посредством агрегации и создает для них индекс, в то время как индекс истории предназначен для хранения истории поиска. Это ясно изображено на изображении ниже —
Настройки просмотра
После нажатия на следующую кнопку, мы видим сводку настроек, которые мы выбрали. Мы просматриваем его и выбираем Далее, чтобы завершить загрузку данных.
По окончании загрузки появляется следующий экран, который показывает успешное получение данных и дальнейшие возможные действия, которые мы можем предпринять с данными.