Splunk 标签

 

标签用于为特定字段和值组合分配名称。这些字段可以是事件类型、主机、来源或来源类型等。您还可以使用标签将一组字段值组合在一起,以便您可以使用一个命令搜索它们。例如,您可以将星期一生成的所有不同文件标记为名为 mon_files 的标记。

要找到我们要标记的字段值对,我们需要展开事件并定位要考虑的字段。下图显示了我们如何展开事件以查看字段:

Tags1

 

创建标签

我们可以通过使用 编辑标签选项将标签值添加到字段值对来创建标签,如下所示。我们选择 Actions 列下的字段。

Tags2

下一个屏幕提示我们定义标签。对于状态字段,我们选择状态值 503 或 505 并分配一个名为 server_error 的标记,如下所示。我们必须通过选择两个事件来一一进行,每个事件的状态值为 503 和 505、下图显示了状态值为 503 的方法。对于状态值为 503 的事件,我们必须重复相同的步骤505.

Tags3

 

使用标签搜索

创建标签后,我们可以通过在搜索栏中简单地输入标签名称来搜索包含该标签的事件。在下图中,我们看到了状态为 503 或 505 的所有事件。

Tags

 Splunk 应用程序是 Splunk 功能的扩展,它具有自己的内置 UI 上下文来满足特定需求。 Splunk 应用程序由不同的 Splunk 知识对象(查找、标签、事件类型、保存的搜索等)组成。应用程序本 ...