Splunk – Gestión del conocimiento
AREAtutorial » Big Data & Analitycs » Splunk – Gestión del conocimiento
Splunk Knowledge Management es el mantenimiento de los objetos de conocimiento para una implementación de Splunk Enterprise.
A continuación se muestran los caracterÃsticas principales de la gestión del conocimiento –
Asegúrese de que los objetos de conocimiento sean compartidos y utilizados por los grupos adecuados de personas en la organización.
Normalice los datos de eventos implementando convenciones de nomenclatura de objetos de conocimiento y eliminando objetos duplicados u obsoletos.
Supervise las estrategias para mejorar la búsqueda y el rendimiento dinámico (aceleración de informes, aceleración del modelo de datos, indexación agregada, búsqueda por lotes).
Cree modelos de datos para usuarios de Pivot.
Este es un objeto de Splunk para obtener información especÃfica sobre sus datos. Cuando crea un objeto de conocimiento, puede mantenerlo en privado o compartirlo con otros usuarios. Ejemplos de objetos de conocimiento: búsquedas guardadas, etiquetas, extracciones de campo, búsquedas, etc.
Cuando se utiliza el software Splunk, los objetos de conocimiento se crean y almacenan. Pero pueden contener información duplicada o no ser utilizados de manera efectiva por todo el público objetivo. Para resolver estos problemas, necesitamos administrar estos objetos. Esto se hace clasificándolos correctamente y luego usando la administración de permisos adecuada para procesarlos. A continuación se muestran los usos y la clasificación de varios objetos de conocimiento:
Fields and Field Extractions es el primer nivel de conocimiento sobre el software Splunk. Los campos extraÃdos automáticamente por el software Splunk de los datos de TI ayudan a dar significado a los datos sin procesar. Los campos extraÃdos a mano amplÃan y mejoran este nivel de significado.
Utilice tipos de eventos y transacciones para agrupar conjuntos interesantes de eventos similares. Los tipos de eventos agrupan conjuntos de eventos encontrados en una búsqueda. Las transacciones son una colección de eventos relacionados conceptualmente que abarcan el tiempo.
Las operaciones de búsqueda y flujo de trabajo son categorÃas de objetos de conocimiento que mejoran la utilidad de sus datos de varias formas. Buscar campos le permite agregar campos a sus datos desde fuentes de datos externas, como tablas estáticas (archivos CSV) o comandos basados ​​en Python. Las actividades del flujo de trabajo brindan interacciones entre sus campos de datos y otras aplicaciones o recursos web, como una búsqueda de WHOIS para un campo de dirección IP.
Las etiquetas y los alias se utilizan para gestionar y normalizar conjuntos de información de campo. Puede utilizar etiquetas y alias para agrupar conjuntos de valores de campo relacionados y proporcionar etiquetas de campo extraÃdas que reflejen diferentes aspectos de su identidad. Por ejemplo, puede agrupar eventos de varios anfitriones en una ubicación especÃfica (como un edificio o una ciudad) asignando la misma etiqueta a cada anfitrión.
Si tiene dos fuentes diferentes que usan diferentes nombres de campo para referirse a los mismos datos, puede normalizar sus datos usando alias (por ejemplo, usando el alias clientip para ipaddress).
Los modelos de datos son uno o más conjuntos de datos e impulsan la herramienta Pivot, lo que permite a los usuarios de Pivot crear rápidamente tablas útiles, visualizaciones complejas e informes sólidos sin tener que interactuar con el lenguaje de búsqueda del software Splunk. Los modelos de datos son desarrollados por administradores del conocimiento que comprenden completamente el formato y la semántica de sus datos indexados. Un modelo de datos tÃpico utiliza otros tipos de objetos de conocimiento.
Discutiremos algunos ejemplos de estos objetos de conocimiento en los siguientes capÃtulos.
🚫