Splunk - Tag
I tag vengono utilizzati per assegnare nomi a campi specifici e combinazioni di valori. Questi campi possono essere tipo di evento, host, sorgente o tipo di sorgente, ecc. È inoltre possibile utilizzare un tag per raggruppare insieme un insieme di valori di campo, in modo da poterli cercare con un comando. Ad esempio, puoi taggare tutti i diversi file generati il lunedì con un tag denominato mon_files.
Per trovare la coppia campo-valore che andremo a taggare, dobbiamo espandere gli eventi e individuare il campo da considerare. L'immagine sotto mostra come possiamo espandere un evento per vedere i campi -
Creazione di tag
Possiamo creare tag aggiungendo il valore del tag alla coppia campo-valore utilizzando Edit Tagsopzione come mostrato di seguito. Scegliamo il campo sotto la colonna Azioni.
La schermata successiva ci richiede di definire il tag. Per il campo Stato, scegliamo il valore di stato 503 o 505 e assegniamo un tag denominato server_error come mostrato di seguito. Dobbiamo farlo uno per uno scegliendo due eventi, ciascuno con gli eventi con valore di stato 503 e 505. L'immagine sotto mostra il metodo per il valore di stato come 503. Dobbiamo ripetere gli stessi passaggi per un evento con valore di stato come 505.
Ricerca tramite tag
Una volta creati i tag, possiamo cercare gli eventi che contengono il Tag semplicemente scrivendo il nome del Tag nella barra di ricerca. Nell'immagine sottostante, vediamo tutti gli eventi che hanno lo stato: 503 o 505.