Splunk Splunk 7.x Fundamentals 2 – Module 9: Creating Field Aliases and Calculated Fields

pluto

pluto

Moderator
SPLUNK FUDAMENTALS 2

Splunk 7.x Fundamentals 2 – Module 9: Creating Field Aliases and Calculated Fields

Mục tiêu Module:
  • Tạo và sử dụng Field Aliases.
  • Tạo calculated Field.
1. Field Aliases
1.1 Intro Field Aliases
Trong tập dữ liệu event, có thể có các nhóm sự kiện dựa trên các trường (field) có giá trị tương đồng hoặc giống nhau.Ví dụ:
image001.jpg




Theo như ảnh trên, các event về người dùng dhale khi đi qua các host khác nhau, sẽ có các trường khác nhau chứa giá trị “dhale”:
  • cisco_firewall sử dụng trường “Username”.
  • cisco_wsa_squid sử dụng trường “username”.
  • winauthentication_security sử dụng trường “User”.
Để giúp tìm kiếm các nhóm trường này một cách dễ dàng, có thể gán các trường cũ cùng với các giá trị của chúng thành một trường mới. Sau khi gán, có thể sử dụng tên trường mới để tìm kiếm các sự kiện có chứa giá trị cần tìm. Có vài lưu ý khi sử dụng Field Aliases:
  • Field Aliases không thay thế hoặc xóa trường gốc(original Field).
  • Áp dụng sau khi sử dụng field extraction, và trước khi sử dụng lookups
  • Có thể áp dụng field aliases để lookups.
  • Một trường(original Field) có thể có nhiều Field Aliases; tuy nhiên trong cùng một source, host, sourcetype, một Field Aliases chỉ áp dụng cho một trường gốc( original Field). Field Aliases được định nghĩa trước sẽ được sử dụng. Xét ví dụ bên dưới, cả hai trường date_year và date_wday đều được gán Field Aliases là time, tuy nhiên trường date_year được gán trước, do đó trường time sẽ có các giá trị của trường date_year:
image003.jpg




  • Giá trị trường date_wday:
image005.jpg







  • Giá trị trường date_year:
image007.jpg







  • Giá trị của Field Aliases time:
image008.jpg





1.2 Create Field Aliases


Để tạo Field Aliases, chọn Settings, chọn Fields:
image009.jpg





Sau đó chọn Field aliases:
image010.jpg






Chọn New Field Alias để tạo Field Aliases:
image012.jpg






Xuất hiện bảng Field aliases>Add new để thêm Field Aliases, điền các thông tin như sau:
  • 1. Destination app: Chọn ứng dụng áp dụng Field Aliases.
  • 2. Name: Nhập tên của Field Aliases.
  • 3. Apply to: chọn các nhóm trường(source, host, sourcetype) chứa các trường cần Aliases.
  • 4. Field aliasses: nhập tên trường gốc(original field hay còn gọi là existing field name) và Field Alisases(new field alias).
  • Chọn Add another filed để thêm các Field Aliases.
  • Chọn Delete để xóa các Field Aliases.
  • Sau khi hoàn thành Field Aliases, chọn Save để lưu thay đổi. Sau đó có thể sử dụng các trường mới từ Field Aliases(có thể mất vài phút sau khi ấn Save).
image014.jpg



1.3 Field Aliases Example
Sử dụng Field Aliases trong ba sourcetype sau đây:

  • cisco_firewall: Username = user
  • winauthentication_security: User = user


cisco_firewall
image016.jpg






winauthentication_security
image018.jpg





Thực hiện câu search sau để kiểm tra Field Aliases đã áp dụng:

user=dhale*
image020.jpg






So sánh giá trị trường “Username” và “user” trong sourcetype cisco_firewall:
image022.jpg
image024.jpg






So sánh giá trị trường “User” và “user” trong sourcetype winauthentication_security:

image026.jpg
image028.jpg




=> từ các kết quả trên, ta thấy các trường user là trường sinh ra sau khi thực hiện Field Aliases trên 3 sourcetype: cisco_firewall, cisco_wsa_squid, winauthentication_security. Lúc này, có thể sử dụng trường “user” để thay thế cho ba trường gốc “Username”, “username” và “User”



2. Calculated Field
2.1 Intro Calculated Field
Xét ví dụ sau:
image030.jpg



Trong trường hợp cần thực hiện việc tính megabytes nhiều lần, thấy rằng khi sử dụng lệnh eval để tính toán, cú pháp dài dòng và phức tạp, khó ghi nhớ. Do đó, Splunk hỗ trợ thêm chức năng Calculated Field giúp tạo ra trường mới dựa trên việc tính toán các trường đã có.

2.2 Creat Calculated Field
Để thực hiện Calculated Field, chọn Settings, chọn Fields:
image032.jpg





Chọn Calculated Fields:
image034.jpg




Chọn New Calculated Field:
image036.jpg






Xuất hiện bảng Calculated fields>Add new để thêm Calculated fields, điền các thông tin như sau:
  • 1. Destination app: Chọn ứng dụng áp dụng Calculated Field.
  • 2. Apply to: chọn các nhóm trường(source, host, sourcetype) chứa các trường cần Calculated Field.
  • 3. Name: Nhập tên của trường mới để thực hiện lưu giá trị sau khi Calculated Field.
  • 4. Eval expression: nhập biểu thức tính giá trị của trường mới.
  • Sau khi hoàn thành Calculated Field, chọn Save để lưu thay đổi. Sau đó có thể sử dụng các trường mới từ Calculated Field (có thể mất vài phút sau khi ấn Save).
image038.jpg






2.3 Using a Calculated Field


Sau khi thự hiện Calculated Field, sử dụng trường mới tương tự như các trường gốc.
Xét ví dụ sau:


Trước khi thực hiện Calculated Field:
image040.jpg





Sau khi thực hiện Calculated Field:
image042.jpg




So sánh kết quả trước và sau khi sử dụng Calculated Field, thay vì sử dụng lệnh eval với cú pháp dài, phức tạp và chỉ dùng một lần tại thời điểm search; sử trường Megabytes thay thế để biểu diễn kết quả tương tự với cú pháp ngắn, đơn giản và có thể tái sử dụng nhiều lần.
 

Đính kèm

  • image003.jpg
    image003.jpg
    33 KB · Lượt xem: 0
  • image005.jpg
    image005.jpg
    37.1 KB · Lượt xem: 0
Bài viết liên quan
Cấu hình đẩy log ESXi về Splunk bởi pluto,
Cấu hình đẩy log server DELL iDRAC về Splunk bởi pluto,
Cấu hình đẩy log vCenter về Splunk bởi pluto,
THAY THẾ INDEXER TRONG MÔI TRƯỜNG SPLUNK CLUSTERING bởi pluto,
RESET PASSWORD USER SPLUNK bởi pluto,
Giải thích User=Unknow trong Rule Detect Rare Executables– SIEM SPLUNK bởi pluto,
Bài viết mới
Cấu hình đẩy log ESXi về Splunk bởi pluto,
Cấu hình đẩy log server DELL iDRAC về Splunk bởi pluto,
Cấu hình đẩy log vCenter về Splunk bởi pluto,
THAY THẾ INDEXER TRONG MÔI TRƯỜNG SPLUNK CLUSTERING bởi pluto,
RESET PASSWORD USER SPLUNK bởi pluto,
Giải thích User=Unknow trong Rule Detect Rare Executables– SIEM SPLUNK bởi pluto,
Bạn phải đăng nhập hoặc đăng ký để bình luận.
Back
Top