Splunk 知识管理

什么是 Splunk 知识？

Splunk 软件提供强大的搜索和分析引擎，可帮助我们查看 IT 知识中的具体内容和更广泛的趋势。如果我们正在使用 Splunk 工具，我们所做的不仅仅是查看日志文件中的单个条目；我们正在利用它们所携带的集体知识来了解更多关于我们的 IT 环境。

Splunk 软件从我们的 IT 数据中提取不同类型的知识（事件、字段、时间戳等），以帮助我们以更好、更智能、更专注的方式利用这些信息。其中一些信息是在索引时提取的，因为我们的 IT 数据由 Splunk 软件索引。但是，在 搜索时，这些信息大部分是由 Splunk 软件及其用户创建的。

与数据库或基于模式的分析工具不同，Splunk 软件允许我们根据需要从原始数据中动态提取知识，而不是预先决定要提取或分析哪些信息。

随着我们的组织使用 Splunk 软件，还会创建额外的 Splunk 软件知识对象类别，包括事件类型、标签、搜索、字段提取、工作流操作和保存的搜索。

我们可以将 Splunk 软件知识视为一个多功能工具，我们用它来发现和分析 IT 结果的各个方面。事件类型使我们能够快速轻松地对相似事件进行分类和分组。然后，我们可以使用它们对精确定义的事件子组执行分析搜索。

知识管理器手动展示了如何通过 Splunk Web 和配置文件维护组织的知识对象集。它还展示了如何使用 Splunk 知识来解决组织的实际问题。

Splunk 软件知识分为五类

数据解释：字段和字段提取

字段和字段提取构成了 Splunk 软件知识的第一顺序。Splunk 软件从我们的 IT 数据中自动提取的字段有助于为我们的原始数据带来意义，阐明乍看之下可能难以理解的内容。我们手动删除的字段扩展并构建了这一意义层。

数据分类：事件类型和事务

我们使用事件类型和事务将有趣的相似事件集汇集在一起。事件类型通过搜索汇集事件集，而事务是跨越时间、概念上相互关联的事件集合。

数据丰富：查找和工作流操作

查找和工作流操作是知识对象类别，以各种方式扩展了我们数据的有用性。字段查找允许我们从外部数据源（例如静态表或基于 Python 的命令）将字段添加到我们的数据中。工作流操作允许数据字段与其他应用程序或 Web 资源之间进行交互，例如对包含 IP 地址的字段进行 WHOIS 搜索。

数据标准化：标签和别名

标签和别名用于管理和标准化字段信息集。标签和别名可用于将相关字段值集分组在一起，并为提取的字段赋予反映其身份不同方面的标签。例如，我们可以将来自一组主机的事件分组到相似的位置（例如建筑物或城市）——只需为每个主机提供相同的标签。或者我们可能有两个不同的源使用不同的字段名来引用相同的数据——我们可以使用别名来标准化我们的数据（例如，将 clientip 别名为 ipaddress）。

数据模型

数据模型是一个或多个数据集的表示，并驱动 Pivot 工具，允许 Pivot 用户快速生成有用的表格、复杂的可视化和强大的报告，而无需与 Splunk 软件的搜索语言交互。数据模型由完全理解其索引数据格式和语义的信息管理器开发。典型的数据模型利用本手册中讨论的某些类型的信息对象，包括查找、事务、搜索时字段提取和度量字段。

知识管理器手册包含以下主题的信息

基于摘要的报告和数据模型加速

当搜索和 Pivot 完成缓慢时，使用 Splunk 软件加速。本章讨论了报告加速（用于搜索）、数据模型加速（用于 Pivot）和摘要索引（用于特殊情况搜索）。

知识管理器应该对数据输入设置、事件处理和索引的概念有基本的了解。

为什么管理 Splunk 知识？

当我们在 Splunk 部署期间必须维护相对大量的知识对象时，我们知道管理信息是必要的。在拥有大量 Splunk 应用程序的公司中尤其如此，如果我们在 Splunk 软件中有多个用户团队，则更是如此。这仅仅是因为用户数量的增加导致 Splunk 知识的进一步扩散。

如果我们对这种情况不加控制，我们的用户可能会发现自己在大量的对象中进行搜索，这些对象的名称令人困惑或矛盾，试图定位和使用分配和权限不均的对象，并浪费宝贵的时间生成系统中其他地方已经存在的报告和字段提取等对象。

Splunk 信息管理器对 Splunk 应用程序的信息拥有集中控制权。知识管理器可以提供的好处包括：

• 跨团队、部门和部署跟踪信息对象的开发和使用；如果我们有一个广泛的 Splunk 部署，分布在多个用户团队中，我们不可避免地会发现团队通过设计其他团队已经创建的工件来重复造轮子。知识管理器可以通过监控对象的创建并确保有用的 通用 对象在全球部署中共享来缓解这些情况。
• 事件的数据标准化。坦率地说：知识对象会激增。虽然 Splunk 软件侧重于数据索引而不是数据库，但相同的标准化原则仍然适用。任何健壮、使用良好的 Splunk 实现都容易最终出现十几个都已应用于同一字段的标签，但随着这些冗余知识对象的堆积，最终结果是用户的困惑和效率低下。我们将提供一些关于通过应用标准化命名标准和使用 Splunk 通用信息模型来标准化信息对象库的技巧。
• 通过配置文件管理信息对象。设置对象意识的某些方面最好通过配置文件执行。本手册将教 Splunk Enterprise 的信息管理器如何以这种方式处理信息对象。
• 为 Pivot 用户创建数据模型。Splunk 软件为那些希望轻松构建表格、图表和仪表板而无需编写有时可能冗长复杂的搜索字符串的用户提供了 Pivot 工具。Pivot 工具由数据模型驱动——如果没有数据模型，Pivot 就没有可报告的内容。Splunk 信息管理器构建数据模型：了解其索引数据的结构和语义，并且熟悉 Splunk 搜索语言的个人。
• 管理摘要搜索和 Pivot 加速工具的配置和使用；大量数据可能会导致 Splunk 软件性能缓慢，无论我们是启动搜索、运行报告还是尝试使用 Pivot。报告加速、数据模型加速和摘要索引可以用于加快知识管理器的工作，以帮助确保我们部署中的团队快速有效地获得结果。本手册将教我们如何集中这些加速技术，以确保它们安全有效地使用。

知识管理先决条件

知识管理中的大多数任务都围绕着搜索时事件的操作。换句话说，典型的知识管理器通常不专注于事件索引之前的工作，例如设置数据输入、调整事件处理活动、纠正默认字段提取问题、创建和维护索引、设置转发和接收等等。但是，我们确实建议所有知识管理器都很好地理解这些概念。对这些主题有扎实的基础可以帮助知识管理器更好地规划他们部署的知识对象管理方法……并且有助于他们解决随着时间推移不可避免会出现的问题。

以下是一些知识管理器应该熟悉的主题，并附有帮助我们入门的链接

• 继承 Splunk Enterprise 部署： 如果我们继承了 Splunk Enterprise 部署，我们可以在《继承部署手册》中找到更多关于我们部署的网络特性、数据源、用户群体和知识对象的信息。
• 使用 Splunk 应用程序： 如果我们的部署使用多个 Splunk 应用程序，我们应该对它们的组织方式以及多应用程序部署如何与应用程序对象管理协同工作有一些背景知识。请参阅《管理员手册》中的“什么是应用程序？”、“应用程序架构和对象所有权”以及“管理应用程序对象”。
• 管理配置文件： 配置文件在哪里？它是如何组织它们的？配置文件如何相互覆盖？请参阅《管理员手册》中的配置文件优先级和配置文件。
• 传入数据索引： 什么是索引，它是如何工作的？索引时间与搜索时间有什么区别，为什么这种区别很重要？在《管理索引器和集群手册》中，从“关于索引和索引器”开始阅读本章的其余部分。应特别注意“索引时间与搜索时间”。
• 将事件数据导入我们的 Splunk 部署： 至少对 Splunk 数据输入有基本的了解很重要。了解 Splunk 将索引什么，并在必要时阅读《获取数据手册》中的其他主题。
• 了解我们的转发和接收设置： 如果我们的 Splunk 实现使用转发器和接收器，那么了解它们是如何实现的非常重要，因为这会影响我们的信息管理策略。在《转发和接收手册》中获取该主题的概述。
• 理解事件处理： 充分了解 Splunk 软件在索引数据之前解析数据所经过的步骤是个好主意。这些知识可以帮助我们解决事件数据故障排除问题，并识别事件处理中的索引时间问题。从《获取数据手册》中事件处理的概述开始，并阅读整章。
• 默认字段提取： 大多数字段提取发生在搜索时，除了在索引时提取的一些默认字段。作为知识管理器，我们大部分时间都会关注搜索时字段提取，但在绝对必要时知道如何管理默认字段提取是个好主意。这将帮助我们克服 Splunk 软件应用于每个案例的主机、源和 sourcetype 字段的问题。从《获取数据手册》中的“关于默认字段”开始。
• 用户和角色管理： 知识管理器通常不直接设置用户和角色。但是，了解它们在我们的部署中是如何设置的是个好主意，因为这直接影响我们在用户组之间共享和推广知识对象的努力。