Splunk - Types d'événements

Dans la recherche Splunk, nous pouvons concevoir nos propres événements à partir d'un ensemble de données basé sur certains critères. Par exemple, nous recherchons uniquement les événements qui ont un code d'état http de 200. Cet événement peut maintenant être enregistré en tant que type d'événement avec un nom défini par l'utilisateur commestatus200 et utilisez ce nom d'événement dans le cadre de recherches futures.

En bref, un type d'événement représente une recherche qui renvoie un type spécifique d'événement ou une collection utile d'événements. Chaque événement qui peut être renvoyé par la recherche obtient une association avec ce type d'événement.

Création d'un type d'événement

Il existe deux façons de créer un type d'événement après avoir choisi les critères de recherche. L'un est derunune recherche, puis enregistrez-la en tant que type d'événement. Un autre est deadd a new Event Type from the settings tab. Nous verrons les deux façons de le créer dans cette section.

Utiliser une recherche

Considérez la recherche des événements qui ont les critères de valeur d'état http réussie de 200 et le type d'événement exécuté un mercredi. Après avoir exécuté la requête de recherche, nous pouvons choisirSave As option pour enregistrer la requête en tant que type d'événement.

L'écran suivant vous invite à donner un nom au type d'événement, à choisir une balise facultative, puis à choisir une couleur avec laquelle les événements seront mis en surbrillance. L'option de priorité décide du type d'événement qui sera affiché en premier au cas où deux ou plusieurs types d'événements correspondent au même événement.

Enfin, nous pouvons voir que le type d'événement a été créé en allant dans le Settings → Event Types option.

Utilisation d'un nouveau type d'événement

L'autre option pour créer un nouveau type d'événement consiste à utiliser le Settings → Event Types option comme indiqué ci-dessous où nous pouvons ajouter un nouveau type d'événement -

En cliquant sur le bouton New Event Type nous obtenons l'écran suivant pour ajouter la même requête que dans la section précédente.

Affichage du type d'événement

Pour afficher l'événement que nous venons de créer ci-dessus, nous pouvons écrire la requête de recherche ci-dessous dans la zone de recherche et nous pouvons voir les événements résultants ainsi que la couleur que nous avons choisie pour le type d'événement.

Utilisation du type d'événement

Nous pouvons utiliser le type Event avec d'autres requêtes. Ici, nous spécifions certains critères partiels du type d'événement et le résultat est un mélange d'événements qui montre les événements colorés et non colorés dans le résultat.