Splunk 源类型
所有传入 Splunk 的数据首先由其内置的数据处理单元进行判断,并分类为某些数据类型和类别。例如,如果它是来自 apache Web 服务器的日志,Splunk 能够识别它并从读取的数据中创建适当的字段。
Splunk 中的此功能称为源类型检测,它使用称为“预训练”源类型的内置源类型来实现此目的。
这使得分析变得更容易,因为用户不必手动分类数据并将任何数据类型分配给传入数据的字段。
支持的源类型
Splunk 中支持的源类型可以通过上传文件来查看 Add Data 功能,然后选择源类型的下拉列表。在下图中,我们上传了一个 CSV 文件,然后检查了所有可用选项。
源类型子类别
即使在这些类别中,我们也可以进一步点击查看所有支持的子类别。因此,当你选择数据库类别时,你可以找到 Splunk 可以识别的不同类型的数据库及其支持的文件。
预训练的源类型
下表列出了 Splunk 识别的一些重要的预训练源类型:
| 源类型名称 | Nature |
|---|---|
| access_combined | NCSA 组合格式 http web 服务器日志(可由 apache 或其他 web 服务器生成) |
| access_combined_wcookie | NCSA 组合格式 http web 服务器日志(可由 apache 或其他 web 服务器生成),末尾添加 cookie 字段 |
| apache_error | 标准 Apache Web 服务器错误日志 |
| linux_messages_syslog | 标准 linux 系统日志(大多数平台上的 /var/log/messages) |
| log4j | 任何 J2EE 服务器使用 log4j 生成的 Log4j 标准输出 |
| mysqld_error | 标准mysql错误日志 |