Splunk - Gestion des connaissances
La gestion des connaissances Splunk concerne la maintenance des objets de connaissances pour une implémentation de Splunk Enterprise.
Voici les main features of knowledge management -
Assurez-vous que les objets de connaissance sont partagés et utilisés par les bons groupes de personnes dans l'organisation.
Normaliser les données d'événement en implémentant des conventions de dénomination des objets de connaissance et en supprimant les objets en double ou obsolètes.
Superviser les stratégies pour améliorer les performances de recherche et de pivot (accélération des rapports, accélération du modèle de données, indexation récapitulative, recherche en mode batch).
Créez des modèles de données pour les utilisateurs de Pivot.
Objet de connaissance
C'est un objet Splunk pour obtenir des informations spécifiques sur vos données. Lorsque vous créez un objet de connaissances, vous pouvez le garder privé ou le partager avec d'autres utilisateurs. Les exemples d'objet de connaissance sont: les recherches enregistrées, les balises, les extractions de champs, les recherches, etc.
Utilisations des objets de connaissance
Lors de l'utilisation du logiciel Splunk, les objets de connaissance sont créés et enregistrés. Mais ils peuvent contenir des informations en double, ou ils peuvent ne pas être utilisés efficacement par tout le public visé. Pour résoudre ces problèmes, nous devons gérer ces objets. Cela se fait en les classant correctement, puis en utilisant une gestion des autorisations appropriée pour les gérer. Vous trouverez ci-dessous les utilisations et la classification de divers objets de connaissance -
Champs et extractions de champs
Les champs et les extractions sur le terrain constituent la première couche de connaissance du logiciel Splunk. Les champs extraits automatiquement du logiciel Splunk à partir des données informatiques contribuent à donner du sens aux données brutes. Les champs extraits manuellement élargissent et améliorent cette couche de sens.
Types d'événements et transactions
Utilisez des types d'événements et des transactions pour regrouper des ensembles intéressants d'événements similaires. Les types d'événements regroupent des ensembles d'événements découverts lors de recherches. Les transactions sont des ensembles d'événements liés au concept qui s'étendent sur le temps.
Recherches et actions de workflow
Les recherches et les actions de workflow sont des catégories d'objets de connaissance qui étendent l'utilité de vos données de différentes manières. Les recherches de champ vous permettent d'ajouter des champs à vos données à partir de sources de données externes telles que des tables statiques (fichiers CSV) ou des commandes basées sur Python. Les actions de workflow permettent des interactions entre les champs de vos données et d'autres applications ou ressources Web, telles qu'une recherche WHOIS sur un champ contenant une adresse IP.
Balises et alias
Les balises et les alias sont utilisés pour gérer et normaliser des ensembles d'informations de champ. Vous pouvez utiliser des balises et des alias pour regrouper des ensembles de valeurs de champ associées et pour attribuer des balises de champ extraites reflétant différents aspects de leur identité. Par exemple, vous pouvez regrouper les événements d'un ensemble d'hôtes dans un emplacement particulier (tel qu'un bâtiment ou une ville) en attribuant le même tag à chaque hôte.
Si vous avez deux sources différentes utilisant des noms de champ différents pour faire référence aux mêmes données, vous pouvez normaliser vos données en utilisant des alias (en attribuant un alias clientip à ipaddress, par exemple).
Modèles de données
Les modèles de données sont des représentations d'un ou plusieurs ensembles de données et ils pilotent l'outil Pivot, permettant aux utilisateurs de Pivot de générer rapidement des tableaux utiles, des visualisations complexes et des rapports robustes sans avoir besoin d'interagir avec le langage de recherche du logiciel Splunk. Les modèles de données sont conçus par des gestionnaires de connaissances qui comprennent parfaitement le format et la sémantique de leurs données indexées. Un modèle de données typique utilise d'autres types d'objets de connaissance.
Nous discuterons de certains des exemples de ces objets de connaissance dans les chapitres suivants.