Splunk 源是我们将在 Splunk 中使用的数据源。我们将在本节中讨论Splunk中的各种数据源。除此之外,我们还将学习Splunk 中的数据源类型,以及源类型检测。
将其指向数据源以将数据导入您的 Splunk 部署。稍微说一下来源。然后该源成为数据的输入。Splunk索引数据流并将其转换为一系列事件。我们将立即访问并扫描特定事件。如果结果与我们预期的不完全一样,可以调整索引过程,直到达到预期为止。
当我们拥有 Splunk Enterprise 时,数据可以位于同一网络上的索引器(本地数据)或另一台计算机(远程数据)上。如果我们有 Splunk Cloud,数据将保留在您的公司系统中,并且我们会将其传输到您的 Splunk Cloud 部署。使用网络馈送,或在数据来源的主机上安装 Splunk 转发器,我们可以将远程数据导入您的 Splunk 部署。
Splunk 为Windows或Linux 、Cisco 安全数据、Symantec Blue Coat 数据等数据源提供预配置输入的应用程序和插件。在 Splunkbase 上寻找适合您需求的应用程序或插件。Splunk Enterprise 还提供数百种数据源配方,例如 Web 服务器日志、Java 2 平台、企业版 (J2EE) 日志或 Windows 输出矩阵。我们可以从 Splunk Web 的附加数据页面获取这些信息。如果食谱和应用程序不能满足您的需求,那么我们可以使用通用输入配置的功能来确定您的特定数据源。
Splunk 提供了用于配置各种数据输入的工具,包括那些对应用程序需求独特的数据输入。Splunk 还提供工具来配置任意数据的输入形式。一般来说,Splunk 输入可以定义如下:
文件和目录
网络事件
Windows 资源
其他来源
大多数数据直接来自文件和文件夹。要从文件和目录中获取数据,我们可以使用文件和目录来跟踪输入处理器。
来自系统日志文件或通过TCP协议传输的任何其他应用程序的数据。Splunk Enterprise 可以索引来自任何网络端口的数据。它也可以索引 UDP 数据,但为了提高可靠性,我们应该尽可能使用 TCP。
Splunk Enterprise 还可以接受 SNMP 事件并对它们进行编目。
Splunk Cloud 和 Splunk Enterprise Windows 实施支持多种 Windows 特定输入。Splunk Web 允许我们配置以下 Windows 独有的输入表单:
Windows 事件日志数据
Windows 注册表数据
WMI 数据
活动目录数据
性能监控数据
要在 Splunk Enterprise 的非 Windows 实例上搜索和索引 Windows 数据,我们必须使用 Windows 实例来收集数据。
Splunk 软件还支持不同类型的数据源。例如:
指标
先进先出 (FIFO) 队列
脚本输入
模块化输入
HTTP 事件收集器端点
插入 Splunk 的所有数据首先由软件的内置功能进行判断,该软件自动将其分类为预定义的类别。例如,将来自任何服务器的日志插入 Splunk 平台,然后自动对其进行分类并创建所有必要的字段。
自动检测数据类型字段的功能在 Splunk 平台中称为源类型检测。为了实现它,Splunk 使用了一种内置的源类型,称为预训练源类型。
该功能使用户更轻松,因为他不必手动设置传入数据的数据类型和字段。
下面是一张图片,其中包含 Splunk 平台支持的所有源类型的列表。我们还在本教程前面解释了重要的类别。
现在,当我们在源类型下拉列表中选择任何类别时,我们还可以从许多不同的子类别中进行选择。
例如 - 如果我们在主类别中选择源类型作为数据库。我们有很多选项可以从子类别和所有受支持的数据库子类别中进一步选择。我们可以向下滚动并选择合适的。作为参考,我们可以看看下面的图片。
下面是一些重要的预训练源类型列表,这些源类型用于在 Splunk 平台中对传入数据进行自动源类型检测。
Splunk 平台不会自动识别一些预训练的源,但可以在 Splunk web 或input.conf的帮助下手动分配。
为 Splunk 平台中的传入数据分配预训练源类型是一种非常好的做法,因为 Splunk 平台非常了解如何索引预训练源的类型以进行有效搜索。
但是,如果您的数据仍然与源类型不匹配,那么我们也可以手动创建您的源类型并将其分配给您的数据。
