Splunk Splunk 7.x Fundamentals 2 – Module 10: Working with Tags and Event Types

Mục tiêu Module:

• Tạo và sử dụng Tags.
• Mô tả event type và các sử dụng.
• Tạo và sử dụng event type

1. Tags
1.1 Mô tả Tags
Trong tập dữ liệu các event,có thể có các nhóm event với các giá trị trường(field values) tương ứng, tạo thành một cặp field/value . Để giúp tìm kiếm hiệu quả hơn các nhóm event này, có thể chỉ định tags và aliases(đã giới thiệu ở phần trước, xem bài viết http://securityzone.vn/t/splunk-7-x...ng-field-aliases-and-calculated-fields.11851/ để thêm thông tin) cho các cặp field/value. Một số lưu ý khi sử dụng Tags:

• Tags cho phép chỉ định/gán tên cho cặp trường/giá trị cụ thể , kể các trường cụ thể như host, source, sourcetype, event type.
• Tags giúp cho dữ liệu về các event chi tiết hơn, dễ hiểu và ít mơ hồ hơn.
• Có thể tạo một hoặc nhiều tags cho bất kỳ cặp giá trị field/value.
• Tags phân biệt chữ hoa và chữ thường, do đó cần thống nhất các đặt tên Tags, tránh nhầm lẫn trong quá trình sử dụng.
• Nếu trong trường hợp cần gắn tags với số lượng lớn, số lượng tính bằng chục nghìn cặp giá trị field/value, nên sử dụng lookups. Sử dụng nhiều tags sẽ không ảnh hưởng đến việc lập chỉ mục, nhưng tìm kiếm có khả năng phân loại event tốt hơn khi sử dụng lookups. Để biết thêm thông tin về lookups, xem bài viết : http://securityzone.vn/t/splunk-7-x-fundamentals-part-1-module-12-creating-and-using-lookups.11836/

1.2 Create Tags

Xét câu search sau:

sourcetype=linux_secure

Từ kết quả tìm kiếm trên, có event có nội dung “Failed password for invalid user sys from 175.44.26.139 port 1444 ssh2”. Ví dụ , cần đánh Tags cho cặp giá trị user=sys, với tên Tags là “testtagsys”



1.Click vào icon mũi tên (>) bên cạnh Event có nội dung “Failed password for invalid user sys from 175.44.26.139 port 1444 ssh2” để xem chi tiết event:




Chi tiết sự kiện như sau:




2.Click vào mũi tên xuống của cặp giá trị user=sys, sau đó chọn Edit Tags:





Xuất hiện bảng Create Tags, trong đó Field value user=sys là cặp field/value đang đánh tag, nhập testtagsys vào ô Tag(s), sau đó chọn Save để lưu thay đổi:





Sau khi đánh Tags thành công, khi xem chi tiết các Event có chứa cặp field/value đã đánh Tags, giá trị trường “tag” sẽ có thêm tag “testtagsys”, và cặp giá trị user=sys sẽ có tag “testtagsys” bên cạnh như sau:





Chọn New Field Alias để tạo Field Aliases:





Xuất hiện bảng Field aliases>Add new để thêm Field Aliases, điền các thông tin như sau:

• 1. Destination app: Chọn ứng dụng áp dụng Field Aliases.
• 2. Name: Nhập tên của Field Aliases.
• 3. Apply to: chọn các nhóm trường(source, host, sourcetype) chứa các trường cần Aliases.
• 4. Field aliasses: nhập tên trường gốc(original field hay còn gọi là existing field name) và Field Alisases(new field alias).
• Chọn Add another filed để thêm các Field Aliases.
• Chọn Delete để xóa các Field Aliases.
• Sau khi hoàn thành Field Aliases, chọn Save để lưu thay đổi. Sau đó có thể sử dụng các trường mới từ Field Aliases(có thể mất vài phút sau khi ấn Save).

1.3 Using Tags


Cú pháp để sử dụng tag trong một câu search như sau:

• tag=<tagname> . Ví dụ: tag=testtagsys
• Có thể sử dụng ký tự thay thế khi dùng tag. Ví dụ : tag=testtag*
• <tagname> có phân biệt chữ hoa, chữ thường, do đó chú ý nhập chính xác <tag name>.

Kết quả câu search trước khi đánh Tag:





Kết quả câu search sau khi đánh Tag, sử dụng tag=testtagsys thay cho user=sys:




=> Từ hai kết quả trên, nhận thấy trong cùng một khoảng thời gian, kết quả của câu search sử dụng tag=testtagsys và user=sys là giống nhau. Do đó tag=testtagsys được thay thế cho user=sys trong câu search.


1.4 Managing Tags


Để quản lý Tags, chọn Settings, sau đó chọn Tags:





Sau đó chọn List by field value pair:





Tại đây, có thể chọn:

• Permissions để thêm các User được phép sử dụng Tags tương ứng.
• Disable all tags for pair để tắt Tags tương ứng.
• Delete để xóa Tags.
• Nhập vào filter để tìm các cặp field/value đã đánh Tags.
• New Tag để thêm Tags mới.

Hoặc có thể click vào cặp field/value trong cột Field value pair để thêm Tag hoặc thay đổi tên Tag:







Hoặc có thể chọn List by tag name, sau đó chọn tên Tag trong cột Tag Name để thêm hoặc chỉnh sửa các cặp field/value cho tag tương ứng:




2. Event Types
Mô tả Event Type


2.2 Creat Event Type
Xem các event là sự kiện trong câu search:

index=* status>499

Câu search trên sẽ liệt kê các sự kiện có status >499 trong tập data trên Splunk.


Sau đây, sẽ tạo Event Type cho câu search trên, nhóm thành các sự kiện có status > 499. Có ba cách tạo như sau: từ Search Page, từ Type Builder, từ Splunk Web Settings.





a)From the Search Page
Để tạo Event Types, sau khi có kết quả của câu search, chọn Save As, chọn Event Type:





Tuy nhiên, cần lưu ý, không phải câu Search nào cũng có thể tạo được Event Types. Chỉ có các câu Search ở dạng bacsic, không chứ các Pipe, hoặc subsearch, mới có thể tạo được Event Type từ các câu search đó.

Ví dụ: với câu search [index=* status>499 | sort host] , do câu search có sử dụng Pipe( |) nên không thể tạo Event Type từ câu search này:





Xuất hiện bảng Save As Event Type, điền các thông tin sau đó ấn Save, trong đó:

• Name: Tên Event Type
• Tags: Tags của Event Type( nếu có)
• Priority: Độ ưu tiên của Event Type từ 1 đến 10( 1 là cao nhất).

Chọn Done để hoàn thành tạo Event Type:






b)From Event Type Builder

Để tạo Event Types, sau khi có kết quả của câu search, chọn icon mũi tên (>) bên cạnh event:





Sau đó chọn Event Actions, chọn Build Event Type:






Xuất hiện bảng Generated event type, tại bảng này , verify lại các Event và các giá trị của trường (Field value) tương ứng với câu search (index=* status<500)




Đặc biệt cần quan tâm đến giá trị trường status, các giá trị trong trường status đều đạt điều kiện (status<500)





Sau khi verify lại các Event và giá trị của các trường, chọn Save:




Xuất hiện save Event Type, hoàn thành bảng sau đó chọn Save:

• Name: Tên của Event Type.
• Priority: Mức độ ưu tiên của Event Type, từ 1 đến 10 (1 là giá trị cao nhất).

Chọn Close để hoàn thành tạo Event Type:





c) From Splunk Web Settings.
Để tạo Event Type từ Splunk Web Setting, chọn Settings, sau đó chọn Event Types:





Chọn New Event Type để thêm Event Type:





Tại cửa sổ Event types Add new, nhập tác thông tin như sau để tạo Event Type:

• Destination App: Chọn App mà Event Types có hiệu lực trong App
• Name: Tên Event Types.
• Search string: Câu search định nghĩa Event Types.
• Tag(s): Tên Tag được đánh cho Event Types(nếu có).
• Priority: Mức độ ưu tiên của Event Type, giá trị từ 1 đến 10(1 là cao nhất).

Tuy nhiên, ưu tiên sử dụng cách tạo Event từ Search Page, sau đó là Event Type Builder. Vì nguyên nhân khi tạo Event Type, cần verify lại câu Search theo các tiêu chí tạo một Event Type, Search Page và Event Type Builder sẽ hỗ trợ tốt việc này, nên ưu tiên sử dụng hai phương pháp trên.



2.3 Using the Event Type


Xét câu search sau:

index=* status>499

Các sự kiện này đã được tạo Event Type trong các bước trên, được gán Color = Blue, do đó phần Detail Event trước mỗi Event có màu xanh Blue:




Ngoài cách sử dụng câu search (index=* status>499), có thể sử dụng Event Type để thay thế cho câu Search trên:

Cú pháp : eventtype=<name event type>

Ví dụ:




2.4 Managing Event Types.


Để quản lý Event Types, chọn Settings, chọn Event Types:



Tại đây, có thể chọn:

• Permissions để thêm các User được phép sử dụng Event Type tương ứng.
• Disable để tắt Event Types tương ứng.
• Delete để xóa Event Types.
• Nhập vào filter để tìm các Event Types.