- Splunk 教程
- Splunk - 首页
- Splunk - 概述
- Splunk - 环境
- Splunk - 接口
- Splunk - 数据摄取
- Splunk - 数据类型
- Splunk - 基础搜索
- Splunk - 字段搜索
- Splunk - 时间范围搜索
- Splunk - 共享和导出
- Splunk - 搜索语言
- Splunk - 搜索优化
- Splunk - 数据转换命令
- Splunk - 报表
- Splunk - 仪表盘
- Splunk - 数据透视和数据集
- Splunk - 查找
- Splunk - 计划和告警
- Splunk - 知识管理
- Splunk - 子搜索
- Splunk - 搜索宏
- Splunk - 事件类型
- Splunk - 基础图表
- Splunk - 叠加图表
- Splunk - 微型图表
- Splunk - 管理索引
- Splunk - 计算字段
- Splunk - 标签
- Splunk - 应用
- Splunk - 删除数据
- Splunk - 自定义图表
- Splunk - 文件监控
- Splunk - sort 命令
- Splunk - top 命令
- Splunk - stats 命令
- Splunk 有用资源
- Splunk - 快速指南
- Splunk - 有用资源
- Splunk - 讨论
Splunk - 数据类型
所有进入 Splunk 的数据首先由其内置的数据处理单元进行判断,并分类到特定的数据类型和类别。例如,如果它来自 Apache Web 服务器的日志,Splunk 能够识别这一点并根据读取的数据创建相应的字段。
Splunk 中的此功能称为源类型检测,它使用其内置的源类型(称为“预训练”源类型)来实现此目的。
这使得分析更容易,因为用户不必手动对数据进行分类并将任何数据类型分配给传入数据的字段。
支持的源类型
通过添加数据功能上传文件,然后选择源类型的下拉菜单,可以查看 Splunk 中支持的源类型。在下图中,我们上传了一个 CSV 文件,然后检查了所有可用的选项。
源类型子类别
即使在这些类别中,我们也可以进一步点击查看所有支持的子类别。因此,当您选择数据库类别时,您可以找到不同类型的数据库及其 Splunk 可以识别的支持文件。
预训练源类型
下表列出了一些 Splunk 识别的重要预训练源类型:
| 源类型名称 | 性质 |
|---|---|
| access_combined | NCSA 组合格式 http web 服务器日志(可以由 Apache 或其他 web 服务器生成) |
| access_combined_wcookie | NCSA 组合格式 http web 服务器日志(可以由 Apache 或其他 web 服务器生成),在末尾添加了 cookie 字段 |
| apache_error | 标准 Apache web 服务器错误日志 |
| linux_messages_syslog | 标准 Linux syslog(大多数平台上的 /var/log/messages) |
| log4j | 使用 log4j 的任何 J2EE 服务器生成的 Log4j 标准输出 |
| mysqld_error | 标准 MySQL 错误日志 |
广告