Splunk 数据来源类型

17 Mar 2025 | 4 分钟阅读

Splunk 来源是我们将在 Splunk 中使用的数据的来源。Splunk 中有多种数据来源,我们将在本节中讨论。除此之外,我们还将学习 Splunk 中的数据来源类型来源类型检测

如何获取数据?

将其指向数据来源,以将数据导入到您的 Splunk 部署中。稍微介绍一下来源。然后该来源就成为数据的一个输入。Splunk 索引数据流并将其转换为一系列事件。我们将立即访问和扫描特定事件。如果结果与我们的预期不符,可以调整索引过程,直到结果符合预期为止。

当拥有 Splunk Enterprise 时,数据可以在索引器(本地数据)上,也可以在同一网络上的另一台计算机(远程数据)上。如果拥有 Splunk Cloud,数据将保留在您的企业系统中,然后我们会将其传输到您的 Splunk Cloud 部署中。通过使用网络馈送或在数据来源的主机上安装 Splunk forwarders,我们可以将远程数据导入到您的 Splunk 部署中。

Splunk 提供了应用程序和插件,其中预配置了诸如 WindowsLinux、Cisco 安全数据、Symantec Blue Coat 数据等数据来源的输入。在 Splunkbase 上查找适合您需求的应用程序或插件。Splunk Enterprise 还提供了数百种数据来源方案,例如 Web 服务器日志、Java 2 平台、企业版 (J2EE) 日志或 Windows 输出矩阵。我们可以从 Splunk Web 的“附加数据”页面访问这些方案。如果方案和应用程序没有涵盖您的需求,我们可以使用通用输入配置的功能来确定您的特定数据来源。

数据来源类型

Splunk 提供了用于配置各种类型的数据输入(包括应用程序所特有的数据输入)的工具。Splunk 还提供了配置任何任意数据输入表单的工具。通常,Splunk 输入可以定义如下:

  • 文件和目录
  • 网络事件
  • Windows 来源
  • 其他来源

文件和目录

大多数数据直接来自文件和文件夹。要从文件和目录获取数据,我们可以使用文件和目录来跟踪输入处理器。

网络事件

来自系统日志文件或任何其他通过 TCP 协议传输的应用程序的数据。Splunk Enterprise 可以索引来自任何网络端口的数据。它也可以索引 UDP 数据,但为了提高可靠性,我们应尽可能使用 TCP 代替。

Splunk Enterprise 还可以接受 SNMP 事件并对其进行编目。

Windows 来源

Splunk Cloud 和 Splunk Enterprise Windows 实现支持各种 Windows 特定的输入。Splunk Web 允许我们配置以下 Windows 特有的输入表单:

  • Windows 事件日志数据
  • Windows 注册表数据
  • WMI 数据
  • Active Directory 数据
  • 性能监控数据

要在非 Windows 实例的 Splunk Enterprise 上搜索和索引 Windows 数据,我们必须使用 Windows 实例来收集数据。

其他数据来源

Splunk 软件还支持各种类型的数据来源。例如:

  • 指标
  • 先进先出 (FIFO) 队列
  • 脚本输入
  • 模块化输入
  • HTTP 事件收集器端点

来源类型检测

所有插入到 Splunk 中的数据首先由该软件的内置功能进行判断,该功能会自动将其分类为预定义的类别。例如,如果来自任何服务器的日志被插入到 Splunk 平台中,它就会原子地对其进行分类并创建所有必要的字段。

自动检测数据类型的字段的功能在 Splunk 平台中被称为 来源类型检测。 为了实现这一点,Splunk 使用一个内置的来源类型,该来源类型被称为预训练来源类型。

此功能使用户的工作变得更加轻松,因为他不必手动为传入数据设置数据类型和字段。

下图包含 Splunk 平台支持的所有来源类型的列表。我们还在本教程的前面部分解释了重要的类别。

Splunk Data Sources Type

来源类型中的子类别

现在,当我们选择 来源类型 下拉列表中的任何类别时,我们还可以选择许多不同的子类别。

例如 - 如果我们选择主要类别中的“数据库”作为来源类型。我们可以进一步从子类别以及所有受支持的数据库子类别中选择许多选项。我们可以向下滚动并选择适当的选项。作为参考,我们可以看一下下图。

Splunk Data Sources Type

Splunk 平台中的预训练来源类型

以下是一些重要的预训练来源类型的列表,这些来源类型用于 Splunk 平台中自动来源类型检测传入数据。

有些预训练来源无法被 Splunk 平台自动识别,但可以通过 Splunk Web 或 input.conf 手动分配。

在我们的 Splunk 平台中为传入数据分配预训练来源类型是一个非常好的做法,因为 Splunk 平台非常清楚如何索引预训练来源的类型以进行有效的搜索。

但是,如果您的数据仍然与来源类型不匹配,我们也可以手动创建您的来源类型并将其分配给您的数据。

Splunk Data Sources Type
下一个主题Splunk 基本搜索





相关帖子




Logo

我们提供所有技术(如 Java 教程、Android、Java 框架)的教程和面试问题

联系信息

G-13, 2nd Floor, Sec-3, Noida, UP, 201301, India

hr@tpointtech.com

+91-9599086977

关注我们
Tpoint Tech Facebook PageTpoint Tech X PageTpoint Tech Linkedin PageTpoint Tech Telegram ChannelTpoint Tech Youtube ChannelTpoint Tech instagram Page
教程
Java 数据结构 C 语言 C++ 教程 C# 教程 PHP 教程HTML 教程 JavaScript 教程jQuery 教程Spring 教程
面试题
Microsoft Amazon Adobe Intuit Accenture Cognizant Capgemini Wipro Tcs Infosys
在线编译器
C R C++ Php Java Html Swift Python JavaScript TypeScript
最新帖子 | 教程列表 | 隐私政策 | 关于我们 | 联系我们
© 版权所有 2011 - 2025 TpointTech.com。保留所有权利。