Splunk-event-types
Splunk-イベントタイプ
Splunk検索では、特定の基準に基づいてデータセットから独自のイベントを設計できます。 たとえば、httpステータスコードが200のイベントのみを検索します。 このイベントは、ユーザー定義名 status200 のイベントタイプとして保存でき、今後の検索の一部としてこのイベント名を使用できます。
つまり、イベントタイプは、特定のタイプのイベントまたは有用なイベントのコレクションを返す検索を表します。 検索によって返されるすべてのイベントは、そのイベントタイプとの関連付けを取得します。
イベントタイプの作成
検索条件を決定した後、イベントタイプを作成するには2つの方法があります。 1つは、検索を*実行*してから、イベントタイプとして保存することです。 もう1つは、* [設定]タブから新しいイベントタイプを追加する*です。 このセクションでは、両方の作成方法を説明します。
検索を使用する
成功したhttpステータス値200の基準とイベントタイプが水曜日に実行されるイベントの検索を検討してください。 検索クエリを実行した後、[名前を付けて保存]オプションを選択して、クエリをイベントタイプとして保存できます。
次の画面では、イベントタイプの名前を入力するよう求められ、オプションのタグを選択してから、イベントを強調表示する色を選択します。 優先度オプションは、2つ以上のイベントタイプが同じイベントに一致する場合に、どのイベントタイプを最初に表示するかを決定します。
最後に、[設定]→[イベントタイプ]オプションに移動して、イベントタイプが作成されたことを確認できます。
新しいイベントタイプの使用
新しいイベントタイプを作成する他のオプションは、以下に示すように、新しいイベントタイプを追加できる[設定]→[イベントタイプ]オプションを使用することです-
ボタン New Event Type をクリックすると、次の画面が表示され、前のセクションと同じクエリが追加されます。
イベントタイプの表示
上記で作成したイベントを表示するには、検索ボックスに以下の検索クエリを記述し、結果のイベントとイベントタイプに選択した色を確認します。
イベントタイプの使用
他のクエリと一緒にイベントタイプを使用できます。 ここでは、イベントタイプからいくつかの部分的な基準を指定します。結果は、結果の色付きイベントと非色付きイベントを示すイベントの混合です。
