Splunk – recibiendo datos
AREAtutorial » Big Data & Analitycs » Splunk – recibiendo datos
Los datos se reciben en Splunk a través de Agregar datos una función que forma parte de la aplicación de búsqueda y generación de informes. Después de iniciar sesión en el sistema, se muestra la pantalla principal de la interfaz de Splunk Agregar datos icono como se muestra a continuación.
Cuando hace clic en este botón, se nos presenta una pantalla para seleccionar la fuente y el formato de los datos que planeamos enviar a Splunk para su análisis.
Podemos obtener datos para su análisis en el sitio web oficial de Splunk. Guarde este archivo y descomprÃmalo en su unidad local. Cuando abre la carpeta, puede encontrar tres archivos de diferentes formatos. Estos son datos de registro generados por algunas aplicaciones web. También podemos recopilar otro conjunto de datos proporcionado por Splunk, que está disponible en la página web oficial de Splunk.
Usaremos datos de ambos conjuntos para comprender cómo funcionan las distintas funciones de Splunk.
A continuación, seleccione el archivo, secure.log de la carpeta, mailsv que hemos guardado en nuestro sistema local como se menciona en el párrafo anterior. Después de seleccionar el archivo, procedemos al siguiente paso usando el botón verde «Siguiente» en la esquina superior derecha.
Splunk tiene una función incorporada para determinar el tipo de datos que se cargan. También le da al usuario la opción de seleccionar un tipo de datos que no sea el Splunk seleccionado. Al hacer clic en el menú desplegable de tipo de fuente, podemos ver los diferentes tipos de datos que Splunk puede aceptar y activar para las búsquedas.
En el ejemplo actual a continuación, elegimos el tipo de fuente predeterminado.
En esta etapa de recepción de datos, configuramos el nombre de host desde el que se reciben los datos. A continuación se muestran las opciones para el nombre de host:
Este es el nombre de host completo de los datos de origen.
Si desea extraer el nombre de host usando regex. Luego ingrese la expresión regular del host que desea extraer en el cuadro Expresión regular.
Si desea extraer el nombre de host de un segmento en la ruta de la fuente de datos, ingrese el número de segmento en el campo Número de segmento. Por ejemplo, si la ruta de origen es / var / log / y desea que el tercer segmento (nombre de host del servidor) sea el valor del host, ingrese «3».
Luego seleccionamos el tipo de Ãndice que se creará para la entrada de búsqueda. Elegimos la estrategia de indexación predeterminada. El Ãndice de resumen solo resume los datos a través de la agregación y crea un Ãndice para ellos, mientras que el Ãndice de historial es para almacenar el historial de búsqueda. Esto se muestra claramente en la imagen a continuación:
Después de hacer clic en el botón siguiente, vemos un resumen de la configuración que hemos seleccionado. Lo revisamos y seleccionamos «Siguiente» para completar la descarga de los datos.
Una vez completada la descarga, aparece la pantalla que se muestra a continuación, que muestra la recepción exitosa de datos y otras posibles acciones que podemos tomar con los datos.
🚫