Splunk 标签

在本节中，我们将学习关于Splunk标签和别名、搜索时间顺序以及搜索时间操作顺序。

标签和别名

我们可能在结果中拥有具有相似字段值的分组事件。 我们可以向数据添加标签和别名，以便更有效地扫描这些类型的事件数据。

拥有多个标签不会影响索引，但通过使用查找，搜索应提供更好的事件分类。

标签

标签允许我们为不同的字段和值的组合分配名称，例如事件类型、主机、源或源。

属性可用于帮助跟踪抽象的字段值，例如IP地址或 ID 号。例如，对于值 192.168.1.2，我们可能有一个与我们主要办公室相关的IP地址。将IP地址值标记为主办公室，然后查找具有该IP地址的事件以检查该名称。

我们还可以使用标签将一组字段值组合在一起，并且可以使用一个命令扫描它们。例如，我们有两个主机名，它们适用于同一台机器。 我们可以为每个值使用相同的标签。当我们检查该标签时，它将返回包含主机名这两个值的事件。

我们可以向表示其标识的不同方面的提取字段提供多个标签，从而允许我们执行基于标签的搜索以帮助缩小搜索结果的范围。

标签示例

我们有一个名为IPaddress的提取字段，它指的是我们公司内部网的数据源的IP地址。根据其功能或位置，我们可以标记每个IP地址。 我们可以将路由器的所有IP地址标记为多个路由器，并根据其位置（例如SF或Building1）标记每个 IP 地址。位于旧金山 Building1 内的路由器的 IP 地址，带有路由器、SF和Building1标签。

我们使用以下搜索来检查旧金山 Building1 中所有路由器。

标签和搜索时间操作顺序

当我们运行搜索时，Splunk 软件运行多个操作以推导出知识对象并将它们应用于搜索返回的事件。Splunk 软件按特定顺序执行这些操作。

搜索时间操作顺序

标签在搜索时间列表的最后面。

限制

Splunk程序以 ASCII 排序顺序将标签应用于事件中的字段/值对。在事件中，标签可以应用于任何字段/值对，无论是在索引时、搜索时提取的，还是通过其他方法添加的，例如事件类型、搜索或计算区域。

字段别名

字段中的别名允许我们标准化来自多个来源的数据。我们可以向字段名称添加多个别名，或者在这些字段中使用别名来规范化不同的字段名称。 使用字段别名不会重命名原始字段名称或将其删除。如果我们为部门设置别名，我们可以使用其任何别名来搜索它。别名字段名可以在 Splunk 站点或 props.conf 中找到。

我们可以使用别名将单个字段名称分配给不同的提取字段名称。

字段别名用于所有来源类型的搜索中，随着时间的推移可能会产生大量开销。

字段别名示例

一种数据模型可能有一个名为 http referrer 的字段。此字段可能在我们的源信息中拼写错误为 http referer。使用字段中的别名来捕获我们源数据中拼写错误的字段，并将其映射到我们期望的字段名称。

字段别名和搜索时间操作顺序

搜索时间操作顺序

字段别名在搜索时间操作顺序中排名第四，在度量字段之前，但在关键值的自动字段提取之后。

限制

Splunk 软件按 ASCII 排序顺序处理字段别名，这些别名属于特定的主机、源或源类型。对于在索引时或搜索时提取的字段，我们可以创建别名。对于通过在字段别名处理之后进行的搜索时间操作添加到事件中的字段，我们无法建立别名。