Splunk-タグ

タグは、特定のフィールドと値の組み合わせに名前を割り当てるために使用されます。 これらのフィールドは、イベントタイプ、ホスト、ソース、またはソースタイプなどです。 タグを使用して、一連のフィールド値をグループ化して、1つのコマンドで検索できるようにすることもできます。 たとえば、月曜日に生成されたすべての異なるファイルにmon_filesという名前のタグを付けることができます。

タグ付けするフィールドと値のペアを見つけるには、イベントを展開し、検討するフィールドを見つける必要があります。 以下の画像は、イベントを展開してフィールドを表示する方法を示しています-

Tags1

タグを作成する

以下に示すように、*タグの編集*オプションを使用してフィールド値ペアにタグ値を追加することにより、タグを作成できます。 [アクション]列の下のフィールドを選択します。

Tags2

次の画面では、タグを定義するように求められます。 ステータスフィールドでは、503または505のステータス値を選択し、以下に示すようにserver_errorという名前のタグを割り当てます。 ステータス値が503と505のイベントを持つ2つのイベントを選択して、1つずつ実行する必要があります。 以下の画像は、ステータス値が503のメソッドを示しています。 ステータス値が505のイベントに対して同じ手順を繰り返す必要があります。

Tags3

タグを使用した検索

タグを作成したら、検索バーにタグ名を書き込むだけで、タグを含むイベントを検索できます。 次の画像では、ステータスが503または505のすべてのイベントが表示されています。

タグ