- Splunk 教程
- Splunk - 主页
- Splunk - 概述
- Splunk - 环境
- Splunk - 接口
- Splunk - 数据摄取
- Splunk - 源类型
- Splunk - 基本搜索
- Splunk - 现场搜索
- Splunk - 时间范围搜索
- Splunk - 共享和导出
- Splunk - 搜索语言
- Splunk - 搜索优化
- Splunk - 转换命令
- Splunk - 报告
- Splunk - 仪表板
- Splunk - 数据透视表和数据集
- Splunk - 查找
- Splunk - 时间表和警报
- Splunk - 知识管理
- Splunk - 子搜索
- Splunk - 搜索宏
- Splunk - 事件类型
- Splunk - 基本图表
- Splunk - 叠加图表
- Splunk - 迷你图
- Splunk - 管理索引
- Splunk - 计算字段
- Splunk - 标签
- Splunk - 应用程序
- Splunk - 删除数据
- Splunk - 自定义图表
- Splunk - 监控文件
- Splunk - 排序命令
- Splunk - 顶级命令
- Splunk - 统计命令
- Splunk 有用资源
- Splunk - 快速指南
- Splunk - 有用的资源
- Splunk - 讨论
Splunk - 事件类型
在 Splunk 搜索中,我们可以根据某些条件从数据集中设计我们自己的事件。例如,我们仅搜索 http 状态代码为 200 的事件。现在可以将此事件保存为用户定义名称为 status200 的事件类型,并使用此事件名称作为将来搜索的一部分。
简而言之,事件类型表示返回特定类型事件或有用事件集合的搜索。搜索可以返回的每个事件都会获得与该事件类型的关联。
创建事件类型
确定搜索条件后,有两种方法可以创建事件类型。一种是运行搜索,然后将其保存为事件类型。另一种方法是从设置选项卡添加新的事件类型。我们将在本节中看到创建它的两种方法。
使用搜索
考虑搜索具有成功 http 状态值 200 和事件类型在星期三运行的标准的事件。运行搜索查询后,我们可以选择“另存为”选项将查询另存为“事件类型”。
下一个屏幕会提示为事件类型命名,选择一个可选的标签,然后选择突出显示事件的颜色。优先级选项决定在两个或多个事件类型与同一事件匹配时首先显示哪个事件类型。
最后,我们可以通过转到“设置”→“事件类型”选项来查看已创建的事件类型。
使用新事件类型
创建新事件类型的另一个选项是使用“设置”→“事件类型”选项,如下所示,我们可以在其中添加新的事件类型 -
单击“新建事件类型”按钮后,我们将看到以下屏幕,用于添加与上一节中相同的查询。
查看事件类型
要查看我们上面刚刚创建的事件,我们可以在搜索框中编写以下搜索查询,我们可以看到结果事件以及我们为事件类型选择的颜色。
使用事件类型
我们可以将事件类型与其他查询一起使用。在这里,我们从事件类型中指定一些部分标准,结果是事件的混合,显示结果中的彩色和非彩色事件。
