Splunk 应用

Splunk 应用程序是 Splunk 功能的扩展,它具有自己的内置 UI 上下文来满足特定需求。 Splunk 应用程序由不同的 Splunk 知识对象(查找、标签、事件类型、保存的搜索等)组成。应用程序本身可以利用或利用其他应用程序或附加组件。 Splunk 可以同时运行任意数量的应用。

当您登录 Splunk 时,您会进入一个应用程序,通常是 Splunk Search 应用程序。因此,几乎每次您进入 Splunk 界面时,您都在使用应用程序。

列出 Splunk 应用

我们可以使用选项 应用程序 → 管理应用程序列出 Splunk 中的可用应用程序。导航此选项会显示以下屏幕,其中列出了 Splunk 界面中可用的现有应用程序。

Apps1

以下是与 Splunk 应用程序相关的重要值:

  • Name-它是应用程序的名称,对于每个应用程序都是唯一的。
  • 文件夹名称 这是用于 $SPLUNK_HOME/etc/apps/中目录的名称。文件夹名称不能包含"点"(.) 字符。
  • Version-它是应用程序版本字符串。可见 指示应用程序是否应在 Splunk Web 中可见。包含用户界面的应用应该是可见的。
  • 共享-这是为特定应用程序授予不同 Splunk 用户的权限级别(读取或写入)。
  • 状态-状态:它是应用程序可用性的当前状态。它可以被启用或禁用以供使用。

应用权限

正确设置使用应用的权限很重要。我们可以限制应用程序由单个用户或多个用户(包括所有用户)使用。点击上面的权限链接后出现的下面的屏幕用于修改对不同角色的访问。

Apps2

默认情况下,每个人都可以使用读取和写入选项的复选标记。但是我们可以通过转到每个角色并为该特定角色选择适当的权限来改变这种情况。

应用市场

使用 Splunk 搜索功能的需求多种多样。因此,有一个 Splunk App 市场已经存在,它展示了个人和组织创建的许多不同的应用程序。它们有免费和付费版本。我们可以通过选择选项 应用程序 → 管理应用程序 → 浏览更多应用程序 来浏览这些应用程序。出现以下屏幕。

Apps3

如您所见,将显示应用名称以及应用功能的简要说明。这有助于您决定使用哪个应用程序。此外,请注意左侧栏中的应用是如何分类的,以帮助您更快地选择应用类型。

下一章:Splunk 删除数据

 可以使用 delete 命令从 Splunk 中删除数据。我们首先创建搜索条件来获取我们想要标记为删除的事件。一旦搜索条件可接受,我们在命令末尾添加 delete 子句以从 Splunk 中删除这些事件。 ...