Splunk 事件类型

在 Splunk 搜索中，我们可以根据特定标准从数据集中设计自己的事件。例如，我们只搜索 http 状态码为 200 的事件。这个事件现在可以保存为事件类型，用户定义的名称为 状态200 并将此事件名称用作未来搜索的一部分。

简而言之，事件类型表示返回特定类型的事件或有用的事件集合的搜索。搜索可以返回的每个事件都与该事件类型关联。

创建事件类型

确定搜索条件后，有两种方法可以创建事件类型。一种是 run 搜索，然后将其保存为事件类型。另一种是 从设置选项卡添加新的事件类型 .我们将在本节中看到创建它的两种方式。

使用搜索

考虑搜索具有成功 http 状态值为 200 的标准和在星期三运行的事件类型的事件。运行搜索查询后，我们可以选择 Save As 将查询保存为事件类型的选项。

下一个屏幕提示输入事件类型的名称，选择一个可选的标签，然后选择一种颜色以突出显示事件。优先级选项决定在两个或更多事件类型匹配相同事件的情况下首先显示哪种事件类型。

最后，我们可以通过转到 设置 → 事件类型 option.

使用新的事件类型

创建新事件类型的另一个选项是使用 设置 → 事件类型 如下图所示的选项，我们可以在其中添加一个新的事件类型：

单击按钮时 新事件类型 我们得到以下屏幕来添加与上一节相同的查询。

查看事件类型

要查看我们刚刚在上面创建的事件，我们可以在搜索框中编写以下搜索查询，我们可以看到结果事件以及我们为事件类型选择的颜色。

使用事件类型

我们可以将 Event 类型与其他查询一起使用。在这里，我们从事件类型中指定一些部分标准，结果是事件的混合，显示结果中的彩色和非彩色事件。