- Splunk 教程
- Splunk - 首页
- Splunk - 概述
- Splunk - 环境
- Splunk - 接口
- Splunk - 数据摄取
- Splunk - 数据源类型
- Splunk - 基本搜索
- Splunk - 字段搜索
- Splunk - 时间范围搜索
- Splunk - 共享和导出
- Splunk - 搜索语言
- Splunk - 搜索优化
- Splunk - 变换命令
- Splunk - 报表
- Splunk - 仪表盘
- Splunk - 透视表和数据集
- Splunk - 查询表
- Splunk - 计划和告警
- Splunk - 知识管理
- Splunk - 子搜索
- Splunk - 搜索宏
- Splunk - 事件类型
- Splunk - 基本图表
- Splunk - 叠加图表
- Splunk - 迷你图
- Splunk - 管理索引
- Splunk - 计算字段
- Splunk - 标签
- Splunk - 应用
- Splunk - 删除数据
- Splunk - 自定义图表
- Splunk - 监控文件
- Splunk - 排序命令
- Splunk - top 命令
- Splunk - stats 命令
- Splunk 有用资源
- Splunk - 快速指南
- Splunk - 有用资源
- Splunk - 讨论
Splunk - 事件类型
在 Splunk 搜索中,我们可以根据特定条件从数据集中设计自己的事件。例如,我们只搜索 HTTP 状态代码为 200 的事件。此事件现在可以保存为事件类型,用户自定义名称为 status200,并在未来的搜索中使用此事件名称。
简而言之,事件类型代表一个返回特定事件类型或有用事件集合的搜索。每个可以被搜索返回的事件都与该事件类型关联。
创建事件类型
在确定搜索条件后,有两种方法可以创建事件类型。一种是运行搜索,然后将其保存为事件类型。另一种是从设置选项卡添加新的事件类型。在本节中,我们将看到这两种创建方法。
使用搜索
考虑搜索具有成功 HTTP 状态值为 200 和在星期三运行的事件类型的事件。运行搜索查询后,可以选择另存为选项将查询保存为事件类型。
下一个屏幕提示为事件类型命名,选择可选的标签,然后选择用于突出显示事件的颜色。优先级选项决定在两个或多个事件类型匹配同一事件的情况下,哪个事件类型将首先显示。
最后,我们可以通过转到设置 → 事件类型选项查看已创建的事件类型。
使用新的事件类型
创建新事件类型的另一种方法是使用如下所示的设置 → 事件类型选项,我们可以在其中添加新的事件类型:
单击新建事件类型按钮,我们将获得以下屏幕以添加与上一节相同的查询。
查看事件类型
要查看我们上面创建的事件,我们可以在搜索框中编写以下搜索查询,我们可以看到结果事件以及我们为事件类型选择的颜色。
使用事件类型
我们可以将事件类型与其他查询一起使用。在这里,我们指定事件类型中的一些部分条件,结果是混合事件,显示结果中彩色和非彩色事件。
广告