Splunk - 数据采集

Splunk 中的数据采集通过搜索和报告应用程序的添加数据功能进行。登录后,Splunk 界面主屏幕显示添加数据图标,如下所示。

Ingestion1

单击此按钮后,我们将看到一个屏幕,用于选择我们计划推送到 Splunk 进行分析的数据的来源和格式。

收集数据

我们可以从 Splunk 的官方网站获取要分析的数据。保存此文件并将其解压缩到本地驱动器中。打开文件夹后,您可以找到三个具有不同格式的文件。它们是一些 Web 应用程序生成的日志数据。我们还可以收集 Splunk 提供的另一组数据,该数据可从 Splunk 官方网页获取。

我们将使用这两组数据来了解 Splunk 各种功能的工作原理。

上传数据

接下来,我们从文件夹 mailsv 中选择文件 secure.log,该文件夹我们已保存在本地系统中,如上一段所述。选择文件后,我们使用右上角的绿色下一步按钮进入下一步。

Ingestion2

选择源类型

Splunk 具有内置功能来检测正在摄取的数据类型。它还为用户提供了选择与 Splunk 选择的数据类型不同的选项。单击源类型下拉菜单,我们可以看到 Splunk 可以提取并启用搜索的各种数据类型。

在下面给出的当前示例中,我们选择默认源类型。

Ingestion3

输入设置

在此数据提取步骤中,我们配置提取数据的主机名。以下是主机名 − 的选项可供选择

常量值

这是源数据所在的完整主机名。

路径上的正则表达式

当您想要使用正则表达式提取主机名时。然后在正则表达式字段中输入要提取的主机的正则表达式。

路径中的段

当您想要从数据源路径中的段中提取主机名时,请在段号字段中输入段号。例如,如果源的路径是 /var/log/,并且您希望第三个段(主机服务器名称)作为主机值,请输入"3"。

接下来,我们选择要在输入数据上创建的用于搜索的索引类型。我们选择默认索引策略。摘要索引仅通过聚合创建数据摘要并在其上创建索引,而历史索引用于存储搜索历史记录。下图中清晰地描述了这一点 −

Ingestion4

查看设置

单击下一步按钮后,我们会看到所选设置的摘要。我们查看它并选择下一步以完成数据上传。

Ingestion5

完成加载后,会出现以下屏幕,显示数据提取成功以及我们可以对数据采取的进一步操作。

Ingestion6