Splunk – Etiquetas
AREAtutorial » Big Data & Analitycs » Splunk – Etiquetas
Las etiquetas se utilizan para nombrar combinaciones especÃficas de campos y valores. Estos campos pueden ser de tipo de evento, host, fuente o tipo de fuente, etc. También puede usar una etiqueta para agrupar un conjunto de valores de campo de manera que pueda buscarlos con un solo comando. Por ejemplo, puede etiquetar todos los archivos creados el lunes con una etiqueta llamada mon_files.
Para encontrar el par campo-valor que vamos a etiquetar, necesitamos desenvolver los eventos y encontrar el campo a examinar. La siguiente imagen muestra cómo podemos expandir el evento para ver los campos:
Podemos crear etiquetas agregando un valor de etiqueta a un par de valores de campo usando Editar etiquetas opción como se muestra a continuación. Seleccione el campo debajo de la columna Acciones.
La siguiente pantalla nos pide que definamos la etiqueta. Para el campo Estado, seleccionamos un valor de estado de 503 o 505 y asignamos una etiqueta llamada server_error como se muestra a continuación. Tenemos que hacer esto uno por uno, seleccionando dos eventos, cada uno con eventos con un valor de estado de 503 y 505. La siguiente imagen muestra el método para un valor de estado como 503. Tenemos que repetir los mismos pasos para un evento con un valor de estado como 505.
Una vez que se han creado las etiquetas, podemos buscar eventos que contengan la etiqueta simplemente ingresando el nombre de la etiqueta en la barra de búsqueda. En la imagen de abajo, vemos todos los eventos con el estado: 503 o 505.
🚫