كم مرة تستخدم الوظائف الإضافية التي تم إنشاؤها بالفعل باستخدام Splukbase ، بدلاً من كتابة ما تريده؟ هل لديهم دائمًا ما ترغب في رؤيته؟ هل يعمل كل شيء بشكل جيد فيها ، حتى إذا تم تثبيته وفقًا للتعليمات بالضبط؟ سنتحدث اليوم عن ميزات العمل مع تطبيقات Splunk.
وبالتحديد ، سوف نتعلم كيفية فهم كيفية إنشاء الطلبات في التطبيقات ، بحيث يمكننا في المستقبل ، بناءً عليها ، القيام بشيء محدد لمهمتنا. ونأخذ في الاعتبار أيضًا العديد من الأسباب التي غالبًا ما تبدأ التطبيقات في العمل بشكل ملتوي أو لا تعمل على الإطلاق.
لماذا نتحدث عن هذا؟ لأن العديد من التطبيقات لديها هيكل استعلام أكثر تعقيدًا من المستخدمين العاديين العاديين عند كتابة تطبيقاتهم الخاصة. ولكن في نفس الوقت ، غالبًا ما تكون هناك حاجة لفهم كيفية بناء جدول معين من أجل تعديله لنفسك.
ما الرقائق المستخدمة من قبل مطوري التطبيقات المتقدمين:
- نوع الحدث
- وحدات الماكرو
- التنبيهات
- عمليات البحث
سنحاول الآن أن نوضح ماهيتها وكيفية اكتشافها باستخدام أمثلة على العديد من الاستعلامات.
المثال رقم 1
احصل على استعلام من
تطبيق Splunk لـ Windows Infrastructure ، والذي يجب أن يمنحنا عدد المستخدمين الجدد في Active Directory. نحصل على الجدول التالي نتيجة لذلك:
لنفترض أننا لسنا سعداء بشيء في هذا الجدول: نحتاج إلى إضافة حقل آخر ، أو إجراء تصفية إضافية حسب المستخدم الموضوع ، أو أي شيء آخر. يبدو أن الأمر معقد؟ الآن افتح استعلام البحث وقم بتحرير كل شيء!
ولكن ... حدث خطأ ما.
بدلاً من الاستعلام القياسي والواضح ، ظهر تصميم غريب في علامات اقتباس مفردة. دعونا نتعرف ، هذا ماكرو.
الماكرو في Splunk هو استعلام بحث قابل لإعادة الاستخدام. يتم إنشاء وحدات الماكرو عندما ، في إطار تطبيق واحد ، يجب على المرء في كثير من الأحيان إجراء نفس النوع من التحويل ، ولكي لا يتم تكرارها في كل طلب ، يتم حفظها بشكل منفصل. يمكن التعرف على الماكرو في الطلب من خلال بنية `macros_name`. أيضًا ، قد تتطلب وحدات الماكرو نوعًا من متغير الإدخال ، مثل وحدات الماكرو في الطلب تحتوي على البنية `macros_name (value)`.
بعد ذلك ، افتح نص الماكرو ، يمكن العثور عليه هنا
الإعدادات - بحث متقدم - بحث وحدات الماكرو .
بشكل عام ، يبدو مثل هذا الطلب أكثر شيوعًا ويمكنك بالفعل العمل معه. ولكن هناك تحذير واحد ، إذا حاولت العثور على حقل مثل نوع الحدث في السجلات ، فلن تجد أي شيء. هذه أداة Splunk أخرى.
Eventtype هو أداة تصفية. يتم استخدامه في الحالات التي يتم فيها اختيار الأحداث اللازمة وفقًا لمجموعة متنوعة من المعايير. لذلك ، وبمساعدة eventtype يمكننا مرة واحدة تكوين الأحداث التي ستنتمي إلى هذا النوع ، ومنحهم اسمًا مناسبًا واستخدامها في أي استعلامات في المستقبل.
يمكنك العثور على Eventtype في
الإعدادات - أنواع الأحداث.ضمن "eventtype = wineventlog_security" ، يتم البحث التالي:
وبالتالي ، قمنا "بإلغاء" أحد الطلبات في التطبيق. نحن نعلم الآن على أساس البيانات والتحويلات التي تم إجراؤها من أجل الحصول على نتيجة ، مما يعني أنه إذا لزم الأمر يمكننا تصحيحها أو إنشاء واحدة مماثلة لدينا. فقط كن حذرا ، لا تحاول تحرير وحدات الماكرو وأنواع الأحداث المضمنة في التطبيقات. يمكن الرجوع إليها من خلال لوحات العدادات الأخرى ثم ستتغير النتائج أيضًا. لمنع حدوث ذلك ، من الأفضل جمع كل الأجزاء في بحث واحد أو إنشاء وحدات ماكرو وأنواع أحداث جديدة.
ألاحظ على الفور أن هذا أبعد ما يكون عن القصة الأكثر تعقيدًا وتعقيدًا. يمكن أن يشير Eventtype إلى أي نوع حدث آخر ، وهذا النوع الآخر إلى النوع الثالث وما إلى ذلك. يمكن أن تشير بعض وحدات الماكرو إلى الدلائل التي يتم تكوينها باستخدام وحدات ماكرو أخرى ، إلخ.
المثال رقم 2
خذ بعين الاعتبار مثال آخر: إنشاء قائمة المجالات.
دعونا نلقي نظرة على الطلب الذي تشكله هذه القائمة لنا.
ومرة أخرى نرى ماكرو يحل محل الطلب بالكامل تقريبًا.
نذهب إلى القائمة مع وحدات الماكرو (
الإعدادات - البحث المتقدم - بحث وحدات الماكرو ) ونرى أن الماكرو الخاص بنا يأخذ القاعدة من الدليل مع المجالات.
تسول الأسئلة: ما هو نوع المرجع هذا وكيف وأين حصل على بياناتنا ، إذا قمنا بتنزيل التطبيق من الإنترنت ولم يتم تزويدنا بأي معلومات مرجعية.
نتذكر أنه يمكن إنشاء الدلائل ليس فقط من الملفات التي تم تنزيلها ، ولكن أيضًا باستخدام عمليات البحث أو التنبيهات. ننتقل إلى القسم المناسب (
الإعدادات - عمليات البحث والتقارير والتنبيهات ) ونجد حقًا أن هناك كائنًا يشبه الاسم شيء نحتاجه. (DomainSelector_Lookup)
هذا تنبيه يتم تشغيله وفقًا لجدول زمني ، ويتم تشغيله بتردد معين وتحديث الدليل.
ولكن دعنا نرى من أين حصل على اسم المجال ، ومن أجل ذلك ، افتح استعلام بحث. وفيه ... مرة أخرى ماكرو.
الذي يحتوي مرة أخرى على رابط إلى eventtype.
والذي يوجد فيه رابط آخر لنوع الحدث
والآن فقط وصلنا إلى نهاية هذه السلسلة المعقدة:
في مثالين ، نظرنا إلى ما هو مخفي وراء الأجهزة اللوحية والرسوم البيانية لتطبيق ما مثل تطبيق Splunk للبنية التحتية لنظام Windows. تُظهر مثل هذه البنية مستوى عاليًا من التفصيل لنموذج البيانات ، مما يعني جودة التطبيق ، ولكنها تسبب الكثير من الألم للمستخدمين الذين يرغبون في فهم ما يحدث هناك.
استكشاف الأخطاء وإصلاحها
كما هو مذكور في بداية المقالة ، دعنا نقول بضع كلمات حول سبب عدم عمل التطبيق كما نتوقع.
ضع في اعتبارك هذا المثال: لقد قمنا بتثبيت تطبيق Splunk للبنية الأساسية لنظام Windows ، وقمنا بتثبيت الإضافات المطلوبة له ، وقمنا بإعداد تحميل البيانات على العنصر. ولكن عندما ندخل في التطبيق ، نرى مثل هذه الصورة فقط:
لماذا قد يكون هذا؟ لنكون صادقين ، يمكن أن يكون هناك العديد من الأسباب ، لكننا سنأخذ في الاعتبار الآن أكثر الأسباب شيوعًا وشائعة.
1. الفهارس الافتراضية
كما ترى ، في جميع استعلامات البحث التي كانت في الجزء الأول من المقالة ، الجزء الكلاسيكي من الفهرس = ... مفقود. عندما لا يشير الاستعلام إلى الفهرس الذي يتم إجراء البحث ، يذهب البحث فقط لتلك الفهارس الموجودة في قائمة الفهارس الافتراضية. بشكل افتراضي ، يتم تضمين المؤشر الرئيسي فقط ، لذلك نحتاج إلى إضافة المؤشرات التي نحتاجها إلى هذه المجموعة.
يمكن القيام بذلك على النحو التالي:
الإعدادات - المستخدمون والمصادقة - عناصر التحكم في الوصول - الأدوار - <تلك الأدوار التي ستعمل مع هذا التطبيق> - البحث في الفهارس بشكل افتراضيثم ، أضف الفهارس المطلوبة إلى الفهارس المحددة.
2. التنبيهات المجدولة
تعتمد العديد من المرشحات على الدلائل والأدلة على التنبيهات. ربما لم تنجح هذه التنبيهات حتى الآن ولم تملأ الأدلة بالمعلومات الضرورية. تحتاج إلى معرفة وقت عملهم ، وإذا لزم الأمر ، قم بتغيير وقت وفترة التحديثات إلى الدليل. (
الإعدادات - عمليات البحث والتقارير والتنبيهات )
في هذه المقالة ، نظرنا إلى مثال على تطبيق Windows Infrastructure ، ولكن يحدث نفس الشيء في العديد من التطبيقات التي تم إنشاؤها بواسطة الأشخاص المحترفين ذوي الخبرة.
إذا كنت ترغب في فهمها بشكل أفضل ، بحيث لا يكون هذا
مربعًا أسودًا لك ،
فقم بتحويل المعلومات لإنشاء تحليلات عالية الجودة استنادًا إلى هذه البيانات ، فأنت بحاجة إلى دراسة
وحدات الماكرو وأنواع
الأحداث بمزيد من التفاصيل.
دورة Splunk في
Splunk Fundamentals 2 .
