Splunk 事件类型

在本节中，我们将学习 Splunk 中的事件类型。我们还将学习事件类型和搜索时序、搜索时操作顺序、事件类型的工作原理、事件类型标签以及保存事件类型。

事件类型

事件表单是用于对数据进行分类的框架，以帮助我们理解数据。事件类型使我们能够筛选海量数据，查找相似模式，并创建警报和报告。

注意：不建议使用事件表单作为查询的快捷方式。如果我们希望缩短搜索的一部分，使用搜索宏要好得多。搜索宏在表达能力方面更具通用性，它们可以包含其他搜索命令，而不仅仅是基本查询词，它们可以参数化，并且在检索事件时不会产生费用。这也可以更容易处理，因为单个搜索宏可以接受各种类型的事件。

事件类型和搜索时序

当我们运行搜索时，Splunk 软件会运行多个操作来派生知识对象，并将它们应用于搜索返回的事件。Splunk 程序按固定顺序执行这些操作。

搜索时操作顺序

事件类型在搜索时活动的顺序中排在第七位，在标签之前，在查找之后。

限制

Splunk 软件首先通过优先级分数处理事件类型，然后通过 ASCII 排序顺序处理。定义事件的搜索字符串不能引用标签，因为事件类型总是在标签之前处理并添加到事件中。

事件类型的工作原理

任何由该搜索返回的事件都将与该事件类型相关联。例如，假设我们有这个搜索：

sourcetype=access_combined status=200 action=purchase

如果我们以 successful purchase 的名称将该搜索保存为事件类型，eventtype = successful_purchase 将在搜索时添加到由该搜索返回的任何事件中。即使我们正在寻找完全不同的内容，也会发生这种情况。

注意：使用事件类型会消耗大量数据，因为每次搜索都会尝试将事件与某种已知的事件表单关联起来。随着事件类型的定义越来越多，执行搜索的成本也会增加。使用 command.search.typer 参数，我们可以检查搜索命令的执行成本。请参阅搜索作业检查器。

使用 eventtype = successful­_purchase 作为搜索词来创建一种适用于匹配该事件类型的事件的搜索。

单个事件可以匹配不同的事件类型。当一个事件匹配两个或多个事件类型时，eventtype 就充当多值字段。

重要的事件类型定义限制

我们不能基于查询来定义事件表单

• 在简单搜索后包含管道符。
• 包含子搜索。
• 使用 savedsearch 命令引用文本名称，通过简单搜索来指定。例如，如果我们有一个名为 failed_login_search 的报表，则不应使用此搜索来定义事件类型： savedsearch failed_login_search。在这种情况下，我们可以使用搜索字符串，该字符串将失败登录搜索定义为事件的表单描述。

最后一点不是严格的限制，而是最佳实践。我们希望避免出现以下情况：其他用户在将来修改 failed_login_search 下的搜索字符串，可能以一种破坏事件类型的方式。如果我们实际上在定义中使用搜索字符串，我们对事件类型的持续有效性有更多的控制。

注意：如果我们希望使用事件表单来缩短查询，请使用搜索宏。

创建事件类型

创建新事件表单的最简单方法是通过 Splunk Internet。在运行一个可以构成良好事件类型的搜索后，点击“另存为”并选择“事件类型”。这将打开“另存为事件类型”窗口，您可以在其中输入事件表单的名称，并可选择为其添加标签。有关将搜索另存为事件类型的更多详细信息，请参阅 Splunk Web 中的识别和保留事件类型。

事件类型标签

事件类型可以与一个或多个标签相关联。这些标签可以在将搜索另存为事件表单时应用，也可以在位于 设置 > 事件类型 的事件类型管理器中应用。从该窗口的事件类型列表中，选择要编辑的事件类型。

标记事件类型以将数据分组到类别中。每个事件可以有多个标签。在 Splunk Web 中，我们可以标记一个事件类型，或在 tags.conf 中进行配置。有关事件类型标记的更多信息。

事件类型标签示例 1

通过给它们更具描述性的名称，使用事件类型标签来跟踪抽象字段值，例如 HTTP 访问日志、IP 地址或 ID 号。通过转到 设置 > 事件类型 来为事件类型添加标签。在此菜单中，从事件类型列表中选择事件类型。

为事件类型添加标签后，搜索它们的方式与搜索任何标签相同。

假设我们将“未找到页面”的搜索另存为 status=404 事件类型，然后将“失败的身份验证”的搜索另存为 status=403 事件类型。如果我们为这些事件类型中的任何一个标记了 HTTP 客户端错误，我们可以通过使用搜索来恢复这些事件类型的所有事件

tag::eventtype=HTTP client error

事件类型标签示例 2

Splunk 平台常用的信息模型 (CIM) 附加组件通常使用事件类型标签来规范来自不熟悉源类型的新索引数据。我们可以使用标签来识别单个数据源中的各种事件类型。

我们可以将 CIM 兼容标签应用于我们的数据。

1. 从 Splunk Web 窗格中选择设置 > 数据模型。找到要将数据映射到的数据模型数据集，然后标记其标签。例如，在 性能数据模型中，cpu_load_percent 对象具有以下标签
   tag = performance
   tag = cpu
2. 通过转到 设置 > 事件类型，在 Splunk Web 的事件类型管理器中创建相应的事件类型。我们也可以直接访问 conf 文件。
3. 在 Splunk Web 中创建相应的标签。选择设置 > 事件类型，找到要标记的事件类型，然后点击其名称。我们也可以直接编辑 conf 文件。

在 Splunk Web 中定义事件类型

事件类型描述了一个返回特定类型事件或一组有价值事件的搜索。任何由该搜索返回的事件都将与该事件类型相关联。例如，假设我们有这个搜索：

sourcetype=access_combined status=200 action=purchase

如果我们以 successful_purchase 的名称将该搜索另存为事件类型，eventtype = successful_purchase 将在搜索时应用于由该搜索返回的任何事件。即使我们正在寻找完全不同的内容，也会发生这种情况。

然后，如果我们想创建一个适用于符合事件类型的事件的搜索，请在搜索字符串中包含 eventtype = successful_purchase。

单个事件可以匹配不同的事件类型。当一个事件匹配两个或多个事件表单时，eventtype 就充当多值字段。

将我们运行的搜索另存为事件表单。

当我们执行搜索时，我们可以将该搜索另存为事件类型。事件类型通常反映返回特定事件或一组有价值事件的搜索。

一旦我们构建了一个事件类型，它将被应用于 $SPLUNK_HOME / etc / users/<your-username>/<app>/local/ 下的 eventtypes.conf 文件，其中 < app > 是当前的应用上下文。如果我们更改事件类型的权限，使其对所有用户都可用（在应用中，或全局适用于所有应用），Splunk 框架会将事件类型移至 $SPLUNK_HOME / etc / apps/<App>/local/。

将搜索另存为事件类型。

1. 在搜索视图中运行搜索。
2. 点击 另存为，然后选择 事件类型。
3. 为事件类型指定一个唯一的名称。
4. （可选）添加一个或多个标签，标签之间用逗号分隔。
   我们可以将相同的标签应用于产生类似结果的事件类型。仅针对该标签的搜索将返回属于某些事件类型的事件集。
5. （可选）选择事件颜色。
   这会在列表的开头为符合此事件类型的任何事件显示一条彩色条带。例如，此事件匹配一个具有紫色的事件表单。
   
   通过在“设置”中编辑，我们可以更改事件类型的颜色（或完全删除其颜色）。
6. （可选）为事件类型指定优先级。
   优先级影响显示匹配两个或多个事件类型的事件。1 是最高优先级，10 是最低优先级。
7. 点击保存以保存新事件类型。
   我们可以在设置 > 事件类别中访问我们和其他用户生成的事件类型列表。

通过此方法生成的任何事件类型也将在“设置”的“事件类型”列表选项卡中显示。可以在“事件类型”列表选项卡上修改事件表单。