Splunk - Tipos de eventos

En la búsqueda de Splunk, podemos diseñar nuestros propios eventos a partir de un conjunto de datos en función de ciertos criterios. Por ejemplo, buscamos solo los eventos que tienen un código de estado http de 200. Este evento ahora se puede guardar como un tipo de evento con un nombre definido por el usuario comostatus200 y use este nombre de evento como parte de búsquedas futuras.

En resumen, un tipo de evento representa una búsqueda que devuelve un tipo específico de evento o una colección útil de eventos. Cada evento que puede ser devuelto por la búsqueda obtiene una asociación con ese tipo de evento.

Crear tipo de evento

Hay dos formas de crear un tipo de evento después de haber decidido los criterios de búsqueda. Uno es pararununa búsqueda y luego guárdelo como un tipo de evento. Otro esadd a new Event Type from the settings tab. Veremos ambas formas de crearlo en esta sección.

Usando una búsqueda

Considere la búsqueda de eventos que tienen el criterio de un valor de estado http exitoso de 200 y el tipo de evento se ejecuta un miércoles. Después de ejecutar la consulta de búsqueda, podemos elegirSave As opción para guardar la consulta como un tipo de evento.

La siguiente pantalla solicita dar un nombre para el tipo de evento, elija una etiqueta que sea opcional y luego elija un color con el que se resaltarán los eventos. La opción de prioridad decide qué tipo de evento se mostrará primero en caso de que dos o más tipos de eventos coincidan con el mismo evento.

Finalmente, podemos ver que el tipo de evento se ha creado yendo a la Settings → Event Types opción.

Usando un nuevo tipo de evento

La otra opción para crear un nuevo tipo de evento es utilizar el Settings → Event Types opción como se muestra a continuación donde podemos agregar un nuevo tipo de evento -

Al hacer clic en el botón New Event Type obtenemos la siguiente pantalla para agregar la misma consulta que en la sección anterior.

Ver el tipo de evento

Para ver el evento que acabamos de crear arriba, podemos escribir la consulta de búsqueda a continuación en el cuadro de búsqueda y podemos ver los eventos resultantes junto con el color que hemos elegido para el tipo de evento.

Usando el tipo de evento

Podemos utilizar el tipo de evento junto con otras consultas. Aquí especificamos algunos criterios parciales del tipo de evento y el resultado es una combinación de eventos que muestra los eventos coloreados y no coloreados en el resultado.