- Splunk 教程
- Splunk - 主页
- Splunk - 概述
- Splunk - 环境
- Splunk - 接口
- Splunk - 数据摄取
- Splunk - 源类型
- Splunk - 基本搜索
- Splunk - 现场搜索
- Splunk - 时间范围搜索
- Splunk - 共享和导出
- Splunk - 搜索语言
- Splunk - 搜索优化
- Splunk - 转换命令
- Splunk - 报告
- Splunk - 仪表板
- Splunk - 数据透视表和数据集
- Splunk - 查找
- Splunk - 时间表和警报
- Splunk - 知识管理
- Splunk - 子搜索
- Splunk - 搜索宏
- Splunk - 事件类型
- Splunk - 基本图表
- Splunk - 叠加图表
- Splunk - 迷你图
- Splunk - 管理索引
- Splunk - 计算字段
- Splunk - 标签
- Splunk - 应用程序
- Splunk - 删除数据
- Splunk - 自定义图表
- Splunk - 监控文件
- Splunk - 排序命令
- Splunk - 顶级命令
- Splunk - 统计命令
- Splunk 有用资源
- Splunk - 快速指南
- Splunk - 有用的资源
- Splunk - 讨论
Splunk - 源类型
Splunk 的所有传入数据首先由其内置的数据处理单元进行判断,并分类为某些数据类型和类别。例如,如果它是来自 apache Web 服务器的日志,Splunk 能够识别该日志并根据读取的数据创建适当的字段。
Splunk 中的此功能称为源类型检测,它使用其内置源类型(称为“预训练”源类型)来实现此目的。
这使得分析变得更容易,因为用户不必手动对数据进行分类并将任何数据类型分配给传入数据的字段。
支持的源类型
通过“添加数据”功能上传文件,然后选择“源类型”下拉列表,可以查看 Splunk 中支持的源类型。在下图中,我们上传了 CSV 文件,然后检查所有可用选项。
来源类型子类别
即使在这些类别中,我们也可以进一步点击查看所有支持的子类别。因此,当您选择数据库类别时,您可以找到Splunk可以识别的不同类型的数据库及其支持的文件。
预训练源类型
下表列出了 Splunk 识别的一些重要的预训练源类型 -
| 源类型名称 | 自然 |
|---|---|
| 访问组合 | NCSA 组合格式 http Web 服务器日志(可由 apache 或其他 Web 服务器生成) |
| access_combined_wcookie | NCSA 组合格式 http Web 服务器日志(可由 apache 或其他 Web 服务器生成),末尾添加 cookie 字段 |
| apache_错误 | 标准 Apache Web 服务器错误日志 |
| linux_messages_syslog | 标准 Linux 系统日志(大多数平台上为 /var/log/messages) |
| 日志4j | 任何使用 log4j 的 J2EE 服务器生成的 Log4j 标准输出 |
| mysqld_错误 | 标准mysql错误日志 |