Seberapa sering Anda menggunakan add-in yang sudah dibuat dengan Splukbase, alih-alih menulis sendiri? Apakah mereka selalu memiliki apa yang ingin Anda lihat? Apakah semuanya berfungsi dengan baik di dalamnya, bahkan jika dipasang persis sesuai dengan instruksi? Hari ini kita akan berbicara tentang fitur bekerja dengan aplikasi Splunk.
Yaitu, kita akan belajar bagaimana memahami bagaimana permintaan dihasilkan dalam aplikasi, sehingga di masa depan, berdasarkan pada itu, kita dapat melakukan sesuatu yang spesifik untuk tugas kita. Dan juga pertimbangkan beberapa alasan karena yang sering aplikasi mulai bekerja bengkok atau tidak bekerja sama sekali.
Mengapa kita membicarakan ini? Karena banyak aplikasi memiliki struktur permintaan yang lebih kompleks daripada yang biasa digunakan pengguna biasa ketika menulis aplikasi mereka sendiri. Tetapi pada saat yang sama, sering kali ada kebutuhan untuk memahami bagaimana tabel tertentu dibangun untuk menyesuaikannya sendiri.
Chip apa yang digunakan oleh pengembang aplikasi tingkat lanjut:
- Jenis acara
- Makro
- Peringatan
- Pencarian
Sekarang kami akan mencoba menunjukkan apa itu dan bagaimana cara mengetahuinya menggunakan contoh beberapa kueri.
Contoh No. 1
Ambil kueri dari
Aplikasi Splunk untuk Infrastruktur Windows , yang seharusnya memberi kita jumlah pengguna baru di Direktori Aktif. Kami mendapatkan tabel berikut sebagai hasilnya:
Misalkan kita tidak senang dengan sesuatu dalam tabel ini: kita perlu menambahkan bidang lain, melakukan pemfilteran tambahan oleh Pengguna Subjek, atau yang lainnya. Tampaknya rumit? Sekarang buka permintaan pencarian dan edit semuanya!
Tapi ... ada yang salah.
Alih-alih permintaan standar dan jelas, desain aneh muncul dalam tanda kutip tunggal. Mari berkenalan, ini makro.
Makro dalam Splunk adalah permintaan pencarian yang dapat digunakan kembali. Makro dibuat ketika, dalam kerangka satu aplikasi, kita sering harus membuat jenis transformasi yang sama, dan agar tidak mengulanginya dalam setiap permintaan, mereka menyimpannya secara terpisah. Makro dalam permintaan dapat dikenali oleh struktur seperti `macros_name`. Juga, makro mungkin memerlukan beberapa jenis variabel input, makro seperti itu dalam permintaan memiliki struktur `macros_name (nilai)`.
Selanjutnya, buka teks makro, dapat ditemukan di sini
Pengaturan - Pencarian Lanjutan - Pencarian makro .
Secara umum, permintaan seperti itu terlihat lebih umum dan Anda sudah bisa mengatasinya. Tetapi ada satu peringatan, jika Anda mencoba menemukan bidang semacam itu sebagai tipe acara di log, maka Anda tidak akan menemukan apa pun. Ini adalah alat Splunk lain.
Eventtype adalah alat penyaringan. Ini digunakan dalam kasus di mana acara yang diperlukan dipilih sesuai dengan berbagai kriteria. Oleh karena itu, dengan bantuan tipe acara, kami dapat mengonfigurasi acara mana yang akan menjadi milik jenis ini, memberi mereka nama yang memadai dan menggunakannya dalam setiap kueri di masa mendatang.
Anda dapat menemukan Eventtype di
Pengaturan - Jenis acara.Di bawah "eventtype = wineventlog_security" adalah pencarian berikut:
Dengan demikian, kami "membatalkan" salah satu permintaan dalam aplikasi. Sekarang kita tahu berdasarkan data apa dan transformasi apa yang dilakukan untuk mendapatkan hasil, yang berarti bahwa jika perlu kita dapat memperbaikinya atau membuat yang serupa. Hanya hati-hati, jangan mencoba mengedit makro dan tipe acara yang dibangun ke dalam aplikasi. Mereka dapat direferensikan oleh dasbor lain dan kemudian hasilnya akan berubah juga. Untuk mencegah hal ini terjadi, lebih baik mengumpulkan semua fragmen dalam satu pencarian atau membuat makro baru dan jenis acara.
Saya segera mencatat bahwa ini jauh dari kisah yang paling rumit dan rumit. Eventtype dapat merujuk pada tipe acara lainnya, dan ini yang lain untuk yang ketiga dan seterusnya. Beberapa makro dapat merujuk ke direktori, yang dibentuk menggunakan makro lain, dll.
Contoh No. 2
Pertimbangkan contoh lain: membuat daftar domain.
Mari kita lihat permintaan yang dibuat oleh daftar ini untuk kita.
Dan lagi kita melihat makro yang menggantikan hampir seluruh permintaan.
Kami pergi ke menu dengan makro (
Pengaturan - Pencarian Lanjutan - Cari makro ) dan melihat bahwa makro kami mengambil basis dari direktori dengan domain.
Pertanyaan mohon: referensi macam apa ini, bagaimana dan dari mana dia mendapatkan data kami, jika kami mengunduh aplikasi dari Internet dan tidak diberi informasi referensi apa pun.
Kami ingat bahwa direktori dapat dibuat tidak hanya dari file yang diunduh, tetapi juga menggunakan pencarian atau peringatan. Kami pergi ke bagian yang sesuai (
Pengaturan - Pencarian, Laporan, dan Peringatan ) dan benar-benar menemukan ada objek yang namanya mirip dengan sesuatu yang kita butuhkan. (DomainSelector_Lookup)
Ini adalah peringatan yang berjalan sesuai dengan jadwal, memicu pada frekuensi tertentu dan memperbarui direktori.
Tapi mari kita lihat dari mana dia mendapatkan nama domain, dan untuk itu, buka permintaan pencarian. Dan di dalamnya ... lagi makro.
Yang lagi memiliki tautan ke tipe acara.
Dan di mana ada tautan lain ke jenis acara
Dan hanya sekarang kita sampai pada akhir rantai yang rumit ini:
Dalam dua contoh, kami melihat apa yang tersembunyi di balik tablet dan grafik aplikasi seperti Splunk App for Windows Infrastructure. Arsitektur seperti itu menunjukkan elaborasi tingkat tinggi dari model data, yang berarti kualitas aplikasi, tetapi hal itu menyebabkan banyak rasa sakit bagi pengguna yang ingin memahami apa yang terjadi di sana.
Pemecahan masalah
Seperti yang dinyatakan di awal artikel, mari kita ucapkan beberapa kata tentang mengapa aplikasi mungkin tidak berfungsi seperti yang kita harapkan.
Pertimbangkan contoh ini: kami menginstal Aplikasi Splunk untuk Infrastruktur Windows, menginstal add-on yang diperlukan untuk itu, dan mengatur pemuatan data di splank. Tetapi ketika kita masuk ke aplikasi, kita melihat gambar seperti itu:
Mengapa ini bisa terjadi? Sejujurnya, mungkin ada banyak alasan, tetapi sekarang kita akan mempertimbangkan dua yang paling mungkin dan umum.
1. Indeks Default
Seperti yang Anda lihat, di semua permintaan pencarian yang ada di bagian pertama artikel, bagian klasik indeks = ... tidak ada. Ketika kueri tidak menunjukkan indeks mana pencarian dilakukan, pencarian hanya berjalan untuk indeks yang ada di daftar Indeks Default. Secara default, hanya indeks utama yang disertakan, jadi kami perlu menambahkan indeks yang kami butuhkan ke grup ini.
Ini dapat dilakukan sebagai berikut:
Pengaturan - Pengguna dan otentikasi - Kontrol akses - Peran - <peran yang akan bekerja dengan aplikasi ini> - Indeks yang dicari secara defaultKemudian, tambahkan indeks yang diinginkan ke indeks yang Dipilih.
2. Lansiran Terjadwal
Banyak filter didasarkan pada direktori, dan direktori pada peringatan. Mungkin peringatan ini belum berfungsi dan tidak mengisi direktori dengan informasi yang diperlukan. Anda perlu melihat kapan mereka bekerja dan, jika perlu, mengubah waktu dan interval pembaruan ke direktori. (
Pengaturan - Pencarian, Laporan, dan Peringatan )
Pada artikel ini, kami melihat contoh aplikasi Infrastruktur Windows, tetapi hal yang sama terjadi pada banyak aplikasi yang dibuat oleh splankers berpengalaman.
Jika Anda ingin lebih memahami mereka, sehingga ini bukan kotak hitam bagi Anda, mengubah informasi untuk membuat analitik berkualitas tinggi berdasarkan data ini, maka Anda perlu mempelajari
makro dan
tipe acara secara lebih rinci.
Splunk course di
Splunk Fundamentals 2 .
