Voltando aqui para avançar um pouco mais nos conceitos do Splunk. No post anterior, mostrei como fazer o deploy do Splunk no seu computador pessoal. Você pode conferir no link aqui.
Já abordei o que é o Splunk no primeiro post, então, nesse post, vou partir do princípio que você já ouviu falar da ferramenta.
Do ponto de vista macro, o Splunk tem quatro fases para o tratamento do dado: input, parsing, indexing e searching.
A primeira fase é o input, onde os dados são coletados de diferentes fontes, como arquivos, serviços, agentes e outros. Nessa fase, estamos preocupados apenas em enviar os dados sem muita formatação. O importante é garantir que cheguem.
Depois que os dados são coletados, o Splunk passa para a fase de parsing, onde os dados são processados para extrair informações importantes. Também nessa fase, os dados são convertidos em eventos, e você pode personalizar as configurações para atender às suas necessidades específicas, talvez mudar o nome do host. Sua imaginação é o limite.
A próxima fase é a fase de indexing, onde os eventos gerados na fase anterior são indexados, criando índices que apontam para a localização dos dados no disco. Isso permite que você pesquise e recupere os dados de forma rápida. O Splunk indexa os eventos em tempo real, o que significa que os eventos são disponibilizados para pesquisa e análise assim que são coletados.
Por último, mas não menos importante, temos a fase de searching, que possibilita que você pesquise e analise os dados indexados. O Splunk fornece uma interface web para pesquisa de dados (aquela interface do primeiro post), permitindo que você pesquise dados usando palavras-chave, expressões regulares e outros recursos avançados de pesquisa oferecidos pelo SPL. Você pode visualizar os resultados da pesquisa em tabelas, gráficos e outros formatos para entender e analisar melhor seus dados. Com a opção de pesquisa em tempo real, você pode ver os resultados da pesquisa à medida que os dados são coletados.
Em resumo, com uma visão de alto nível, é assim que seu dado sai do seu servidor e vai parar no Splunk como um evento.
Caso você queira mais informações sobre as fases do processo, pode conferir a documentação oficial do Splunk:
https://docs.splunk.com/Documentation/Splunk/9.0.4/Deploy/Datapipeline
Top comments (0)