Управление знаниями Splunk — это поддержка объектов знаний для реализации Splunk Enterprise.
Ниже приведены основные особенности управления знаниями —
-
Убедитесь, что объекты знаний используются и используются соответствующими группами людей в организации.
-
Нормализуйте данные событий, применяя соглашения об именах объектов знаний и удаляя дубликаты или устаревшие объекты.
-
Наблюдать за стратегиями улучшения поиска и сводной производительности (ускорение отчетов, ускорение модели данных, сводная индексация, поиск в пакетном режиме).
-
Построить модели данных для пользователей Pivot.
Убедитесь, что объекты знаний используются и используются соответствующими группами людей в организации.
Нормализуйте данные событий, применяя соглашения об именах объектов знаний и удаляя дубликаты или устаревшие объекты.
Наблюдать за стратегиями улучшения поиска и сводной производительности (ускорение отчетов, ускорение модели данных, сводная индексация, поиск в пакетном режиме).
Построить модели данных для пользователей Pivot.
Объект Знания
Это объект Splunk для получения конкретной информации о ваших данных. Когда вы создаете объект знаний, вы можете сохранить его в тайне или поделиться им с другими пользователями. Примеры объекта знаний: сохраненные поиски, теги, извлечение полей, поиск и т. Д.
Использование объектов знаний
При использовании программного обеспечения Splunk объекты знаний создаются и сохраняются. Но они могут содержать дублирующую информацию или могут эффективно не использоваться всей предполагаемой аудиторией. Для решения таких проблем нам необходимо управлять этими объектами. Это делается путем их правильной классификации и последующего использования надлежащего управления разрешениями для их обработки. Ниже приводится использование и классификация различных объектов знаний —
Поля и извлечения полей
Поля и извлечение полей — это первый уровень знаний программного обеспечения Splunk. Поля, автоматически извлекаемые из программного обеспечения Splunk из данных ИТ, помогают придать смысл необработанным данным. Извлеченные вручную поля расширяются и улучшаются на этом уровне смысла.
Типы событий и транзакции
Используйте типы событий и транзакции для группировки интересных наборов похожих событий. Типы событий группируют наборы событий, обнаруженных при поиске. Транзакции — это коллекции концептуально связанных событий, охватывающих время.
Поиск и действия рабочего процесса
Поиск и действия рабочего процесса — это категории объектов знаний, которые расширяют полезность ваших данных различными способами. Поиск полей позволяет добавлять поля к вашим данным из внешних источников данных, таких как статические таблицы (файлы CSV) или команды на основе Python. Действия рабочего процесса обеспечивают взаимодействие между полями в ваших данных и другими приложениями или веб-ресурсами, такими как поиск WHOIS в поле, содержащем IP-адрес.
Теги и псевдонимы
Теги и псевдонимы используются для управления и нормализации наборов полевой информации. Вы можете использовать теги и псевдонимы для группировки наборов связанных значений полей и для предоставления извлеченных тегов полей, которые отражают различные аспекты их идентичности. Например, вы можете сгруппировать события из множества хостов в определенном месте (например, в здании или городе) вместе, назначив один и тот же тег каждому хосту.
Если у вас есть два разных источника, использующих разные имена полей для ссылки на одни и те же данные, то вы можете нормализовать свои данные, используя псевдонимы (например, путем подстановки псевдонима к ipaddress).
Модели данных
Модели данных являются представлениями одного или нескольких наборов данных и управляют инструментом Pivot, позволяя пользователям Pivot быстро создавать полезные таблицы, сложные визуализации и надежные отчеты без необходимости взаимодействия с языком поиска программного обеспечения Splunk. Модели данных разрабатываются менеджерами знаний, которые полностью понимают формат и семантику своих проиндексированных данных. Типичная модель данных использует другие типы объектов знаний.
Мы обсудим некоторые примеры этих объектов знаний в следующих главах.