В поиске Splunk мы можем создавать собственные события из набора данных на основе определенных критериев. Например, мы ищем только те события, которые имеют http-код состояния 200. Теперь это событие можно сохранить как тип события с именем, определенным пользователем как status200, и использовать это имя как часть будущих поисков.
Короче говоря, тип события представляет собой поиск, который возвращает определенный тип события или полезную коллекцию событий. Каждое событие, которое может быть возвращено поиском, получает связь с этим типом события.
Создание типа события
Существует два способа создать тип события после того, как мы определили критерии поиска. Один из них — запустить поиск, а затем сохранить его как тип события. Другой способ — добавить новый тип события на вкладке настроек . Мы увидим оба способа его создания в этом разделе.
Использование поиска
Рассмотрим поиск событий, которые имеют критерий успешного значения статуса http 200 и тип события, запускаемый в среду. После выполнения поискового запроса мы можем выбрать опцию Сохранить как, чтобы сохранить запрос как тип события.
На следующем экране будет предложено указать имя типа события, выбрать необязательный тег, а затем выбрать цвет, которым события будут выделены. Параметр priority решает, какой тип события будет отображаться первым, если два или более типа событий соответствуют одному и тому же событию.
Наконец, мы можем увидеть, что тип события был создан, перейдя к параметру Настройки → Типы событий .
Использование нового типа события
Другой вариант создания нового типа события — использовать параметр « Настройки» → «Типы событий», как показано ниже, где мы можем добавить новый тип события:
При нажатии на кнопку « Новый тип события» мы получаем следующий экран для добавления того же запроса, что и в предыдущем разделе.
Просмотр типа события
Чтобы просмотреть событие, которое мы только что создали выше, мы можем написать поисковый запрос ниже в поле поиска, и мы можем увидеть итоговые события вместе с цветом, который мы выбрали для типа события.
Использование типа события
Мы можем использовать тип события вместе с другими запросами. Здесь мы указываем некоторые частичные критерии из Типа события, и результат представляет собой смесь событий, которая показывает цветные и неокрашенные события в результате.