Splunk Splunk 7.x Fundamentals 2 – Module 7: Introduction to Knowledge Objects

Mục tiêu Module:

• Xác định các loại knowledge object
• Xác định vai trò của knowledge manager
• Xác định các quy ước đặt tên
• Review permissions.
• Manage knowledge object
• Mô tả Splunk Common Information Model (CIM)

1. Knowledge Objects
1.1What are Knowledge Objects?




Knowledge Object là công cụ để khám phá và phân tích các khía cạnh khác nhau của dữ liệu.

• Hình thức biểu diễn dữ liệu (Data interpretation): Fields and field extractions
• Phân loại dữ liệu (Data classification): Event types
• Làm giàu dữ liệu (Data enrichment): Lookups and workflow actions
• Chuẩn hóa dữ liệu (Data normalization): Tags and field aliases
• Tập các dữ liệu (Datasets): Data models

Knowledge Object có các đặc tính như sau:

• Shareable (chia sẻ): có thể chia sẻ giữa các user.
• Reusable (tái sử dụng): các đối tượng có thể được sử dụng bởi nhiều user, ứng dụng, ví dụ như macros, report,...)
• Searchable (có thể tìm kiếm): các đối tượng có thể được sử dụng trong tìm kiếm.

1.2What is a Knowledge Manager?
Việc quản lý Knowledge bao gồm các công việc sau:

• Giám sát việc tạo và sử dụng Knowledge Objects
• Normalizes event data(chuẩn hóa event data).
• Tạo datat model cho người dùng qua các Pivot.

1.3Defining Naming Conventions

Khóa học này sử dụng các tên đơn giản cho các bài tập LAB, nhưng nên sử dụng quy ước đặt tên theo môi trường thực tế như sau:

• Group: Tương ứng với (các) nhóm làm việc của chủ sở hữu object (ví dụ: SEG. NEG. OPS. NOC)
• Object Type: Cho biết loại đối tượng (Alert, Report, Summary)
• Description: Mô tả có ý nghĩa về ngữ cảnh và mục đích của đối tượng, giới hạn trong một hoặc hai từ nếu có thể; đảm bảo tên ngắn gọn và là duy nhất

Ví dụ: SEG_Alert_WinEventlogFailures

1.4 Review Permissions
Bảng dưới đây là các loại permission(Private, This app only, All apps), mô tả chi tiết từng loại, những User có quyền gán lên các Object(Creat), những User được quyền đọc Oject sau khi được gán(Read), những user được quyền chỉnh sửa Object sau khi được gán(Edit/Write).



Dấu * : có quyền read/write nếu được người tạo gán cho vai trò đó.



Khi một đối tượng được tạo, có các tùy chọn phân quyền như sau:

• Display For: mặc định cài đặt là Owner.
• Khi quyền của đối tượng được đặt thành App hoặc All apps, tất cả các user đều được cấp quyền đọc.Quyền Edit/Write được dành riêng cho quản trị viên và người tạo(chủ sở hữu) của đối tượng, các user khác có thể Edit/Write nếu quản trị viên hoặc người tạo đặt quyền.
• Chỉ Admin mới có thể đặt một đối tượng All Apps; đối với các User khác, nút All Apps chuyển sang màu xám.

2. Managing Knowledge Objects

Để quản lý các Knowledge Object, trên thanh công cụ Splunk , chọn Settings, trong mục KNOWLEDGE hiện ra các Object để quản lý:




Chọn một loại Object bất kì, trong mỗi loại Object, sẽ hiện các Object tương ứng trong đó, tại cột Sharing, chọn Permissions để phân quyền cho Object:






3. Giới thiệu Splunk Common Information Model (CIM)


Splunk CIM là:

• Phương pháp để chuẩn hóa dữ liệu
• Dễ dàng correlate data(tương quan dữ liệu) từ các source và sourcetype khác nhau
• Được tận dụng để tạo các đối tượng khác nhau trong khóa học này như: field extractions, field aliases, event types, tags

Các chi tiết khác được thảo luận trong Module 13.