Splunk - Ingestión de datos

La ingestión de datos en Splunk ocurre a través del Add Datafunción que forma parte de la aplicación de búsqueda e informes. Después de iniciar sesión, la pantalla de inicio de la interfaz de Splunk muestra laAdd Data icono como se muestra a continuación.

Al hacer clic en este botón, se nos presenta la pantalla para seleccionar la fuente y el formato de los datos que planeamos enviar a Splunk para su análisis.

Recopilación de datos

Podemos obtener los datos para su análisis en el sitio web oficial de Splunk. Guarde este archivo y descomprímalo en su unidad local. Al abrir la carpeta, puede encontrar tres archivos que tienen diferentes formatos. Son los datos de registro generados por algunas aplicaciones web. También podemos recopilar otro conjunto de datos proporcionados por Splunk que está disponible en la página web oficial de Splunk.

Usaremos datos de ambos conjuntos para comprender el funcionamiento de varias funciones de Splunk.

Subiendo datos

A continuación, elegimos el archivo, secure.log de la carpeta, mailsvque hemos guardado en nuestro sistema local como se menciona en el párrafo anterior. Después de seleccionar el archivo, pasamos al siguiente paso usando el botón siguiente de color verde en la esquina superior derecha.

Seleccionar el tipo de fuente

Splunk tiene una función incorporada para detectar el tipo de datos que se ingieren. También le da al usuario la opción de elegir un tipo de datos diferente al elegido por Splunk. Al hacer clic en el menú desplegable de tipo de fuente, podemos ver varios tipos de datos que Splunk puede ingerir y habilitar para la búsqueda.

En el ejemplo actual que se muestra a continuación, elegimos el tipo de fuente predeterminado.

Ajustes de entrada

En este paso de la ingesta de datos, configuramos el nombre de host desde el cual se ingieren los datos. A continuación se muestran las opciones para elegir, para el nombre de host:

Valor constante

Es el nombre completo del host donde residen los datos de origen.

regex en el camino

Cuando desee extraer el nombre de host con una expresión regular. Luego ingrese la expresión regular del host que desea extraer en el campo Expresión regular.

segmento en camino

Cuando desee extraer el nombre de host de un segmento en la ruta de su fuente de datos, ingrese el número de segmento en el campo Número de segmento. Por ejemplo, si la ruta al origen es / var / log / y desea que el tercer segmento (el nombre del servidor host) sea el valor del host, ingrese "3".

A continuación, elegimos el tipo de índice que se creará en los datos de entrada para la búsqueda. Elegimos la estrategia de índice predeterminada. El índice de resumen solo crea un resumen de los datos a través de la agregación y crea un índice en él, mientras que el índice de historial es para almacenar el historial de búsqueda. Está claramente representado en la imagen a continuación:

Revisar configuración

Después de hacer clic en el botón siguiente, vemos un resumen de la configuración que hemos elegido. Lo revisamos y elegimos Siguiente para finalizar la carga de datos.

Al finalizar la carga, aparece la siguiente pantalla que muestra la ingesta exitosa de datos y otras posibles acciones que podemos tomar con los datos.