本節書摘來自華章計算機《splunk智能運維實戰》一書中的第1章,第1.8節,作者 [美]喬史·戴昆(josh diakun),保羅r.約翰遜(paul r. johnson),德萊克·默克(derek mock),譯 宮鑫,康甯,劉法宗 ,更多章節内容可以通路雲栖社群“華章計算機”公衆号檢視。
splunk内置了許多功能,能識别多種常見的源類型,是以能自動識别出資料中的字段。splunk預設也會提取日志資料中的所有鍵值對和json格式日志中的所有字段。但是原始日志資料中的字段不能直接解釋,必須提供給splunk相關資訊使這些字段易于搜尋。
随後章節要用到的樣本資料包含了作為字段送出給splunk的資料。大部分原始資料包含splunk能自動提取的鍵值對,但需要告知splunk如何提取代表頁面響應時間的這一特殊字段。要進行該操作,需要添加自定義字段提取内容,以便告知splunk如何提取字段。
做好準備
本節的操作需要運作splunk伺服器并上傳智能運維樣本資料。
如何操作
按照下列步驟添加response自定義字段提取内容:
1 . 登入splunk伺服器。
2 . 從右上角單擊“設定”菜單,并單擊“字段”連結。
3 . 單擊“字段提取”連結。
4 . 單擊“建立”。
6 . 單擊“儲存”。
7 . 在“字段提取”清單頁面,找到剛剛添加的提取内容,在“分享”一欄,單擊“權限”連結。
8 . 将“目标可見”調至“所有應用程式”。在“權限”部分,在“讀取”一欄勾選“所有人”,在“寫入”一欄勾選“admin”,然後單擊“儲存”。
9 . 回到splunk搜尋頁面,輸入下列搜尋指令,時間範圍設為
“過去60分鐘”。
現在可以看到“response”字段已經提取到搜尋頁面左側“感興趣字段”部分的下方。
工作原理
所有的字段提取都儲存在props.conf和transforms.conf這兩個配置檔案中。props.conf中的節包含一個提取類,它利用正規表達式提取字段名稱和/或值以供搜尋時使用。transforms.conf檔案更加深入,可用于更進階的提取,如在多個源、源類型或主機上重複使用或分享提取。
另參見