Knowledge Objects
What are knowledge Objects
필드 생성
- Regular Expression
- 정규식으로 필드 생성
- Delimiters
- 구획구분자(띄어쓰기, 쉼표, 특정 문자)로 필드를 생성 가능
필드의 이름 변경
존재하는 필드의 이름을 변경 가능
룩업 : 외부 데이터 추가
csv파일의 데이터를 기존에 존재하는 데이터에 추가하여 필드처럼 활용 가능
Event type
해당 명령어 및 결과를 명령어처럼 만들어서 검색어로 활용 가능
- 데이터의 이해, 패턴 발견, 경고 및 보고서 작성
- not for 빠른 검색
tag 편집
필드 + 필드 값을 하나의 태그로 저장가능, 저장된 태그는 검색 헤드에서 검색하면 출력됨
ex) tag=태그이름
이벤트 타입 & 태그는 사이드바에 확인 가능
workflow action
- 이벤트 링크를 제공
- HTTP GET/POST methods 사용
- 정보를 외부로 보내거나 스플렁크로 다시 받아 2차 검색을 가능하게 함
macros
- 설정 → 고급 검색에서 매크로 설정 가능
Knowledge Object Settings
Naming Conventions
knowledge 6가지 segment key 추천
Group, Type, Platform, Category, Time, Description
Group_Type_Platform_Category_Time_Description
권한 부여
- private
- only user that created
- specific app
- power user and admin
- all apps
- admin
데이터 모델
데이터 모델은 하나 이상의 데이터 집합을 나타내며, 피벗 도구에 사용됩니다. 피벗 사용자는 데이터 모델을 통해
Splunk 소프트웨어 검색 언어와 상호 작용할 필요 없이 유용한 테이블 및 복잡한 시각화와 강력한 보고서를 빨리 만들 수 있습니
다. 데이터 모델은 인덱싱된 데이터의 형식과 시맨틱을 완전히 이해하는 지식 관리자가 설계합니다. 일반적인 데이터 모델에는 이
매뉴얼에서 설명하는 다른 knowledge object 유형(룩업, 트랜잭션, 검색 시간 필드 추출 및 계산된 필드 등)을 사용합니다.
배운 건 써 먹자