Splunk 数据摄取

在 Splunk 中，数据摄取是借助一个选项/菜单/功能 添加数据 完成的，这是欢迎界面或默认仪表板上的第二个选项，如下图所示。

此选项帮助我们在 Splunk 中添加或转发数据。 添加数据后，它用于提取其基本特征。

单击“添加数据”按钮，屏幕上将出现“添加数据”窗口。 它显示了您要发送到 Splunk 平台的数据类型。 在 Splunk 中添加数据有三种选择

1. 上传
2. Monitor
3. 远期合约

上传

它用于将来自外部源的数据上传到我们的系统中。 我们可以上传多种格式到我们的系统中； 稍后将进行详细讨论。

Monitor

如果我们需要在 Splunk 平台中监视来自外部源（如任何网站、应用程序等）的任何数据，我们可以使用监视选项。 例如，HTTP、WMI、TCP/UDP 等。

远期合约

我们可以使用 forward 选项来获取传入的数据，并通过 Splunk forwarder 可视化它，因为它是一个非常广泛的方面。 我们将在本教程的后面部分讨论它。

如何获取数据？

Splunk 的数据可以从许多资源获得，包括 Splunk 官方网站。 它是免费提供的，或者我们可以使用 Kaggle 网站免费获取数据。 我们可以使用它来了解如何上传数据并从中提取所需的特征。

从这些来源下载的数据将是压缩文件。 我们必须在本地系统上提取这些文件，然后上传以使用。

对于此过程，我们将使用列表中的第一个选项，即上传。

上传选项可用于上传包含系统中数据的各种文件。 在这里我们将使用 .csv 文件。 图像中给出的是您可以在 Splunk 中上传的文件类型列表。

我们已经从 Kaggle 网站下载了 titanic 数据，我们将上传它。 Splunk 具有自动检测上传文件的内置功能。 我们将单击“上传”选项。

将出现一个新窗口，提示您选择数据的来源。

在这里，您必须单击 选择文件 按钮。 从您的本地系统选择提取的文件，然后单击 下一步 按钮。 或者您也可以将文件从您的系统拖放到给定的框中。

注意 - 您只能上传最大 500Mb 的文件。

单击“下一步”按钮后，将出现一个新页面，要求您 设置源类型。 此页面可帮助您了解 Splunk 平台将如何看待您上传的数据。 查看左侧的数据，如果时间戳和所有内容看起来都不错，那么您可以单击右上角的 下一步 按钮。

此外，在这里您可以在最左侧的角落看到一个 源类型 的下拉菜单。 当我们单击该菜单时，它将向我们显示我们上传的数据的默认选择类型。 它还将向我们显示我们可以在 Splunk 平台中上传的所有数据类型的标准列表，并附带简短但相关的描述。 如果您可以在 Splunk 的 IDE 上进行操作，那就最好了。 我们还在本教程中显示了数据列表的图像； 它是从头开始的第二个图像。

单击“下一步”后，将出现一个新页面，询问您 输入设置。

在此页面上，您可以设置数据的其他输入设置。

此页面上有几个选项。

主机字段值 -

它将包含主机的值或名称，即默认情况下您的笔记本电脑名称。

如果您愿意，您也可以更改该值。 主机值必须是生成事件的机器的名称。 此外，在这里我们将选中 常量值 的单选按钮，因为我们上传的文件包含该值，这是确定的。 可以根据数据内容的类型在给定的三个选项之间进行选择。

索引值

传入的数据作为索引存储在 Splunk 平台中。 默认值是选择存储在沙盒中的数据的the值。 尽管我们可以稍后从设置中更改该值，但如果要创建新索引，也可以通过单击 创建新索引 选项来创建一个新索引。

简单来说，索引是数据在 Splunk 平台中被识别的名称或位置，以便在用户请求时可以通过搜索操作轻松找到它。

现在，输入设置完成后。 单击“下一步”，它将您重定向到名为 审查 的新页面。

此页面没有什么可做的； 它只是向我们展示了工作的小摘要，即我们已配置的数据和设置。 其中必须包含以下字段 - 输入类型、文件名、源类型、主机、索引。 看一看，如果一切都如预期的那样，那么点击 提交 按钮。

点击提交按钮后，必须出现如下图所示的页面，声明 您的文件已成功上传。

如果在任何时候您想重新配置您的输入设置，那么您可以通过访问 设置 > 数据输入 来完成。

繁荣！ 您刚刚成功地在 Splunk 平台中上传了您的第一个数据。 现在继续点击并探索您的 IDE 中的所有不同字段，并开始搜索和可视化您的数据。