+- Monitoring Serwerów - Forum o monitoringu infrastruktury IT (https://monitoringserwerow.pl)
+-- Forum: MONITORING INFRASTRUKTURY IT (https://monitoringserwerow.pl/forumdisplay.php?fid=1)
+--- Forum: Splunk (https://monitoringserwerow.pl/forumdisplay.php?fid=15)
+--- Thread: Lookups - nowe pola do zdarzeń (/showthread.php?tid=24)
Lookups - nowe pola do zdarzeń - ArturB - 07-30-2019
Mam wrażenie, że funkcjonalności Splunka można wymieniać w nieskończoność. Kolejną przydatną funkcjonalnością którą dostarcza Splunk są tabele "Lookup". Dzięki nim możemy uzyskać dodatkowe pola w już istniejących zdarzeniach. Jest to krótko mówiąc słownik, który musimy dostarczyć w formacie csv, (ewentualnie spakowanym). Dla przykładu spróbujemy stworzyć słownik użytkownik, imię, nazwisko
KOD: ZAZNACZ CAŁY
Code:
user,name,surname
psciegienny,Pawel,SciegiennyZapisujemy jako user.csv
Następnie wybieramy w menu:
[attachment=19]
Powinno pojawić nam się następujące okno
[attachment=20]
Chcemy stworzyć nową tabelę, tak jak to zostało zaznaczone - dla aplikacji search[attachment=21]
W następnym kroku musimy/powinniśmy zdefiniować pola lookup - druga pozycja z drugiego screena...
[attachment=22]
Teraz splunk zna "Definicje" jako oparty o plik lookup.
Teraz powinniśmy przejść do "Automatic lookups"
[attachment=18]
I co nam to wszystko dało? Dostaliśmy zupełnie nowe pola po których możemy wyszukiwać. Jeśli nie znamy kogoś nazwy użytkownika, a mamy możliwość wygenerowania pliku csv zawierającego loginy i nazwiska (często jest to zadaniem trywialnym) to wyszukiwanie może okazać się bardziej instynktowne np:
KOD: ZAZNACZ CAŁY
Code:
auth* fail* name=Pawel surname=Sciegiennyi oto otrzymaliśmy to co chcieliśmy:
[attachment=23]
Innymi zastosowaniami może być np tabela produktów zasugerowania w tutorialu producenta, moim pomysłem byłoby zestawienie numeru telefonu z hostem - pamiętajmy o poprzednim artykule który pozwalał nam "raportować" dowolne pola
https://monitoringserwerow.pl/showthread.php?tid=23
Prawda że tak niepozorna wyszukiwarka potrafi nie raz zaskoczyć?