Wie Bedingung in Splunk Datenmodell Constraint hinzufügen

Question

Ich habe einen Outbound-Flow, der Daten von App, Mem und Karten API geschrieben erhält. Karten und Mem API schreibt Protokolle in Applog, aber App schreibt Protokolle in Syslog.

In meinem Datenmodell habe ich Quellentyp = App_log als Quelltyp. Also im Falle aller Flüsse außer App bekomme ich Schreib-Splunk-Dashboard-Bericht, aber für die Anwendung bekomme ich keine Daten.

Deshalb mag ich wie eine Bedingung in Datenmodell „Zwang“ Abschnitt hinzufügen, wenn api Anwendungen sind dann Sourcetype = app_log OR Sourcetype = sys_log sonst Sourcetype = app_log

Kann mir jemand helfen, wie dies zu tun in Splunk?

Answer 1

Wenn Sie einen Dual-Quellentyp benötigen, ist es normalerweise am besten, den Teil der Stammsuche/des Ereignisses so zu gestalten, dass alle relevanten Daten, die Sie in Ihrem Datenmodell verwenden möchten, gezeichnet werden.

Ein Datenmodell ist wie das Abscheren von Holz auf einer Skulptur, also wenn es normalerweise besser ist, mit allen Daten zu beginnen und dann langsam das zu entfernen, was man sehen möchte.

Sie können Klauseln als Einschränkungen hinzufügen, jedoch können Sie keine weiteren Daten hinzufügen, wenn Sie nicht mit den Root-Ereignissen beginnen.

mein Vorschlag wäre so etwas wie dies in Ihrer Root-Suche sein:

(index=index1 sourcetype=sourcetype1) OR (index=index2 sourcetype=sourcetype2) field=blah field=blah ....