Splunk - Etiquetas

Las etiquetas se utilizan para asignar nombres a campos específicos y combinaciones de valores. Estos campos pueden ser tipo de evento, host, fuente o tipo de fuente, etc. También puede usar una etiqueta para agrupar un conjunto de valores de campo, de modo que pueda buscarlos con un comando. Por ejemplo, puede etiquetar todos los diferentes archivos generados el lunes en una etiqueta llamada mon_files.

Para encontrar el par campo-valor que vamos a etiquetar, necesitamos expandir los eventos y ubicar el campo a ser considerado. La siguiente imagen muestra cómo podemos expandir un evento para ver los campos:

Crear etiquetas

Podemos crear etiquetas agregando el valor de la etiqueta al par campo-valor usando Edit Tagsopción como se muestra a continuación. Elegimos el campo debajo de la columna Acciones.

La siguiente pantalla nos pide que definamos la etiqueta. Para el campo Estado, elegimos el valor de estado de 503 o 505 y asignamos una etiqueta llamada server_error como se muestra a continuación. Tenemos que hacerlo uno por uno eligiendo dos eventos, cada uno con los eventos con valor de estado 503 y 505. La siguiente imagen muestra el método para el valor de estado como 503. Tenemos que repetir los mismos pasos para un evento con valor de estado como 505.

Búsqueda mediante etiquetas

Una vez que se crean las etiquetas, podemos buscar eventos que contengan la etiqueta simplemente escribiendo el nombre de la etiqueta en la barra de búsqueda. En la imagen de abajo, vemos todos los eventos que tienen estado: 503 o 505.