Splunk Enterprise Administration Fast StartADM-FTSPSplunkSP-ADM-FT1<p>À l’issue de cette formation, vous serez en mesure de :
</p>
<ul>
<li>Comprendre l’administration système</li><li>Comprendre le déploiement Splunk</li><li>Comprendre la gestion des licences</li><li>Comprendre les applications Splunk</li><li>Comprendre les fichiers de configuration Splunk</li><li>Comprendre les utilisateurs, rôles et mécanismes d’authentification</li><li>Ingérer des données dans Splunk (Get Data In)</li><li>Comprendre la recherche distribuée (Distributed Search)</li><li>Comprendre l’administration des données</li><li>Comprendre les sourcetypes</li><li>Gérer et déployer des forwarders</li><li>Configurer les entrées de données (data inputs)</li><li>Comprendre les file monitors</li><li>Comprendre les entrées réseau (TCP/UDP)</li><li>Comprendre les entrées scriptées</li><li>Comprendre les entrées HTTP (via le HTTP Event Collector)</li><li>Personnaliser le processus de parsing lors de la phase d’ingestion</li><li>Définir des transformations pour modifier les données avant indexation</li><li>Définir les configurations des knowledge objects au moment de la recherche</li></ul><p><a class="fl-href-prod" href="/swisscom/fr/course/splunk-power-u">Splunk Power User Fast Start <span class="fl-prod-pcode">(POWER-U)</span></a></p><ul>
<li>Cette formation s’adresse aux administrateurs systèmes et aux administrateurs en charge de la gestion d’un environnement Splunk Enterprise.</li><li>Elle fournit les connaissances fondamentales sur le license manager, les indexers et les search heads.</li><li>Elle couvre également les bases des forwarders Splunk et les méthodes d’ingestion de données distantes vers les indexers.</li></ul><h4>Splunk Enterprise System Administration</h4><h5>Module 1 - Déploiement du serveur Splunk</h5><ul>
<li>Présenter une vue d’ensemble de Splunk</li><li>Identifier les composants de Splunk Enterprise</li><li>Identifier les types de déploiement Splunk</li><li>Lister les étapes d’installation de Splunk</li><li>Utiliser les commandes CLI de Splunk</li></ul><h5>Module 2 - Splunk Server Monitoring</h5><ul>
<li>Activer la Monitoring Console (MC)</li><li>Identifier les types de licences Splunk</li><li>Comprendre les violations de licence</li><li>Ajouter et supprimer des licences</li><li>Utiliser Splunk Diag</li></ul><h5>Module 3 - Applications Splunk</h5><ul>
<li>Décrire les apps et add-ons Splunk</li><li>Installer une application sur une instance Splunk</li><li>Gérer l’accessibilité et les permissions des applications</li></ul><h5>Module 4 - Fichiers de configuration Splunk</h5><ul>
<li>Décrire la structure des répertoires de configuration</li><li>Comprendre le mécanisme de superposition des configurations (configuration layering)</li><li>Utiliser btool pour analyser les paramètres de configuration</li></ul><h5>Module 5 - Splunk Indexes</h5><ul>
<li>Comprendre le fonctionnement des index Splunk</li><li>Identifier les types de index buckets</li><li>Créer et manipuler des index</li><li>Vue d’ensemble des metrics index</li></ul>
<h5>Module 6 - Gestion des index Splunk</h5><ul>
<li>Revoir les fondamentaux de la gestion des index</li><li>Identifier les bonnes pratiques de rétention des données</li><li>Identifier les recommandations de sauvegarde</li><li>Déplacer et supprimer des données d’index</li><li>Comprendre l’utilisation du Fishbucket</li><li>Restaurer un frozen bucket</li></ul><h5>Module 7 - Gestion des utilisateurs Splunk</h5><ul>
<li>Ajouter des utilisateurs via l’authentification native</li><li>Comprendre les rôles utilisateurs dans Splunk</li><li>Créer un rôle personnalisé</li><li>Gérer les utilisateurs</li></ul><h5>Module 8 - Configuration du forwarding de base</h5><ul>
<li>Identifier les étapes de configuration des forwarders</li><li>Configurer un Universal Forwarder</li><li>Comprendre le Deployment Server</li></ul><h5>Module 9 - Recherche distribuée</h5><ul>
<li>Comprendre le fonctionnement de la recherche distribuée</li><li>Définir les rôles du search head et des search peers</li></ul>
<h4>Splunk Enterprise Data Administration</h4>
<h5>Module 1 - Introduction à l’administration des données</h5><ul>
<li>Présenter une vue d’ensemble de Splunk</li><li>Décrire les quatre phases du modèle distribué</li><li>Décrire les types d’entrées de données et les paramètres de métadonnées</li><li>Configurer des tests d’ingestion initiaux via Splunk Web</li><li>Tester les index avec l’Input Staging</li></ul><h5>Module 2 - Ingestion des données – Staging</h5><ul>
<li>Identifier les fichiers et répertoires de configuration Splunk</li><li>Comprendre la priorité entre index-time et search-time</li><li>Valider et mettre à jour les fichiers de configuration</li></ul>
<h5>Module 3 - Configuration des forwarders</h5><ul>
<li>Identifier le rôle des indexers de production et des forwarders</li><li>Comprendre et configurer les Universal Forwarders</li><li>Comprendre et configurer les Heavy Forwarders</li><li>Comprendre et configurer les forwarders intermédiaires</li><li>Identifier les options supplémentaires des forwarders</li></ul>
<h5>Module 4 - Gestion des forwarders</h5><ul>
<li>Comprendre le Splunk Deployment Server (DS)</li><li>Gérer les forwarders via des deployment apps</li><li>Configurer les clients de déploiement et les groupes de clients</li><li>Superviser les activités de gestion des forwarders</li></ul>
<h5>Module 5 - Entrées de type Monitor</h5><ul>
<li>Créer des entrées de surveillance de fichiers et répertoires</li><li>Utiliser les paramètres optionnels des monitor inputs</li><li>Déployer un monitor input distant</li></ul><h5>Module 6 - Entrées réseau et scriptées</h5><ul>
<li>Créer des entrées réseau (TCP et UDP)</li><li>Décrire les options avancées des entrées réseau</li></ul>
<h5>Module 7 - Entrées sans agent (Agentless)</h5><ul>
<li>Créer une entrée scriptée simple</li></ul><h5>Module 8 - Optimisation des entrées</h5><ul>
<li>Configurer le HTTP Event Collector (HEC) pour des entrées sans agent</li><li>Présenter le Splunk App for Stream</li></ul><h5>Module 9 - Phase de parsing et données</h5><ul>
<li>Identifier les entrées spécifiques Linux</li><li>Identifier les entrées spécifiques Windows</li></ul><h5>Module 10 - Manipulation des données brutes</h5><ul>
<li>Comprendre le traitement par défaut lors de la phase d’ingestion</li><li>Configurer les options de parsing (sourcetype, encodage des caractères, etc.)</li></ul><h5>Module 11 - Knowledge Objects associés</h5><ul>
<li>Comprendre le traitement par défaut lors du parsing</li><li>Optimiser et configurer le découpage des événements (line breaking)</li><li>Comprendre l’extraction et l’affectation des timestamps et fuseaux horaires</li><li>Utiliser Data Preview pour valider la création des événements</li></ul><h5>Module 12 - Création d’un Diag</h5><ul>
<li>Comprendre la définition et l’utilisation des transformations de données</li><li>Utiliser les transformations via props.conf et transforms.conf pour :</li><li>Masquer ou supprimer des données lors de l’indexation</li><li>Redéfinir le sourcetype ou le host selon le contenu des événements</li><li>Router les événements vers des index spécifiques</li><li>Empêcher l’indexation d’événements non souhaités</li><li>Utiliser SEDCMD pour modifier les données brutes</li></ul><h5>Module 13 - Knowledge Objects associés</h5><ul>
<li>Définir les extractions de champs par défaut et personnalisées (search time)</li><li>Identifier les avantages et inconvénients des extractions au moment de l’indexation</li><li>Configurer les extractions de champs indexés</li><li>Comprendre les extractions par défaut au moment de la recherche</li><li>Gérer les knowledge objects orphelins</li></ul><h4>Splunk Enterprise System Administration</h4><h5>Module 1 - Déploiement du serveur Splunk</h5><ul>
<li>Présenter une vue d’ensemble de Splunk</li><li>Identifier les composants de Splunk Enterprise</li><li>Identifier les types de déploiement Splunk</li><li>Lister les étapes d’installation de Splunk</li><li>Utiliser les commandes CLI de Splunk</li></ul><h5>Module 2 - Splunk Server Monitoring</h5><ul>
<li>Activer la Monitoring Console (MC)</li><li>Identifier les types de licences Splunk</li><li>Comprendre les violations de licence</li><li>Ajouter et supprimer des licences</li><li>Utiliser Splunk Diag</li></ul><h5>Module 3 - Applications Splunk</h5><ul>
<li>Décrire les apps et add-ons Splunk</li><li>Installer une application sur une instance Splunk</li><li>Gérer l’accessibilité et les permissions des applications</li></ul><h5>Module 4 - Fichiers de configuration Splunk</h5><ul>
<li>Décrire la structure des répertoires de configuration</li><li>Comprendre le mécanisme de superposition des configurations (configuration layering)</li><li>Utiliser btool pour analyser les paramètres de configuration</li></ul><h5>Module 5 - Splunk Indexes</h5><ul>
<li>Comprendre le fonctionnement des index Splunk</li><li>Identifier les types de index buckets</li><li>Créer et manipuler des index</li><li>Vue d’ensemble des metrics index</li></ul>
<h5>Module 6 - Gestion des index Splunk</h5><ul>
<li>Revoir les fondamentaux de la gestion des index</li><li>Identifier les bonnes pratiques de rétention des données</li><li>Identifier les recommandations de sauvegarde</li><li>Déplacer et supprimer des données d’index</li><li>Comprendre l’utilisation du Fishbucket</li><li>Restaurer un frozen bucket</li></ul><h5>Module 7 - Gestion des utilisateurs Splunk</h5><ul>
<li>Ajouter des utilisateurs via l’authentification native</li><li>Comprendre les rôles utilisateurs dans Splunk</li><li>Créer un rôle personnalisé</li><li>Gérer les utilisateurs</li></ul><h5>Module 8 - Configuration du forwarding de base</h5><ul>
<li>Identifier les étapes de configuration des forwarders</li><li>Configurer un Universal Forwarder</li><li>Comprendre le Deployment Server</li></ul><h5>Module 9 - Recherche distribuée</h5><ul>
<li>Comprendre le fonctionnement de la recherche distribuée</li><li>Définir les rôles du search head et des search peers</li></ul>
<h4>Splunk Enterprise Data Administration</h4>
<h5>Module 1 - Introduction à l’administration des données</h5><ul>
<li>Présenter une vue d’ensemble de Splunk</li><li>Décrire les quatre phases du modèle distribué</li><li>Décrire les types d’entrées de données et les paramètres de métadonnées</li><li>Configurer des tests d’ingestion initiaux via Splunk Web</li><li>Tester les index avec l’Input Staging</li></ul><h5>Module 2 - Ingestion des données – Staging</h5><ul>
<li>Identifier les fichiers et répertoires de configuration Splunk</li><li>Comprendre la priorité entre index-time et search-time</li><li>Valider et mettre à jour les fichiers de configuration</li></ul>
<h5>Module 3 - Configuration des forwarders</h5><ul>
<li>Identifier le rôle des indexers de production et des forwarders</li><li>Comprendre et configurer les Universal Forwarders</li><li>Comprendre et configurer les Heavy Forwarders</li><li>Comprendre et configurer les forwarders intermédiaires</li><li>Identifier les options supplémentaires des forwarders</li></ul>
<h5>Module 4 - Gestion des forwarders</h5><ul>
<li>Comprendre le Splunk Deployment Server (DS)</li><li>Gérer les forwarders via des deployment apps</li><li>Configurer les clients de déploiement et les groupes de clients</li><li>Superviser les activités de gestion des forwarders</li></ul>
<h5>Module 5 - Entrées de type Monitor</h5><ul>
<li>Créer des entrées de surveillance de fichiers et répertoires</li><li>Utiliser les paramètres optionnels des monitor inputs</li><li>Déployer un monitor input distant</li></ul><h5>Module 6 - Entrées réseau et scriptées</h5><ul>
<li>Créer des entrées réseau (TCP et UDP)</li><li>Décrire les options avancées des entrées réseau</li></ul>
<h5>Module 7 - Entrées sans agent (Agentless)</h5><ul>
<li>Créer une entrée scriptée simple</li></ul><h5>Module 8 - Optimisation des entrées</h5><ul>
<li>Configurer le HTTP Event Collector (HEC) pour des entrées sans agent</li><li>Présenter le Splunk App for Stream</li></ul><h5>Module 9 - Phase de parsing et données</h5><ul>
<li>Identifier les entrées spécifiques Linux</li><li>Identifier les entrées spécifiques Windows</li></ul><h5>Module 10 - Manipulation des données brutes</h5><ul>
<li>Comprendre le traitement par défaut lors de la phase d’ingestion</li><li>Configurer les options de parsing (sourcetype, encodage des caractères, etc.)</li></ul><h5>Module 11 - Knowledge Objects associés</h5><ul>
<li>Comprendre le traitement par défaut lors du parsing</li><li>Optimiser et configurer le découpage des événements (line breaking)</li><li>Comprendre l’extraction et l’affectation des timestamps et fuseaux horaires</li><li>Utiliser Data Preview pour valider la création des événements</li></ul><h5>Module 12 - Création d’un Diag</h5><ul>
<li>Comprendre la définition et l’utilisation des transformations de données</li><li>Utiliser les transformations via props.conf et transforms.conf pour :</li><li>Masquer ou supprimer des données lors de l’indexation</li><li>Redéfinir le sourcetype ou le host selon le contenu des événements</li><li>Router les événements vers des index spécifiques</li><li>Empêcher l’indexation d’événements non souhaités</li><li>Utiliser SEDCMD pour modifier les données brutes</li></ul><h5>Module 13 - Knowledge Objects associés</h5><ul>
<li>Définir les extractions de champs par défaut et personnalisées (search time)</li><li>Identifier les avantages et inconvénients des extractions au moment de l’indexation</li><li>Configurer les extractions de champs indexés</li><li>Comprendre les extractions par défaut au moment de la recherche</li><li>Gérer les knowledge objects orphelins</li></ul>À l’issue de cette formation, vous serez en mesure de :
- Comprendre l’administration système
- Comprendre le déploiement Splunk
- Comprendre la gestion des licences
- Comprendre les applications Splunk
- Comprendre les fichiers de configuration Splunk
- Comprendre les utilisateurs, rôles et mécanismes d’authentification
- Ingérer des données dans Splunk (Get Data In)
- Comprendre la recherche distribuée (Distributed Search)
- Comprendre l’administration des données
- Comprendre les sourcetypes
- Gérer et déployer des forwarders
- Configurer les entrées de données (data inputs)
- Comprendre les file monitors
- Comprendre les entrées réseau (TCP/UDP)
- Comprendre les entrées scriptées
- Comprendre les entrées HTTP (via le HTTP Event Collector)
- Personnaliser le processus de parsing lors de la phase d’ingestion
- Définir des transformations pour modifier les données avant indexation
- Définir les configurations des knowledge objects au moment de la rechercheSplunk Power User Fast Start (POWER-U)- Cette formation s’adresse aux administrateurs systèmes et aux administrateurs en charge de la gestion d’un environnement Splunk Enterprise.
- Elle fournit les connaissances fondamentales sur le license manager, les indexers et les search heads.
- Elle couvre également les bases des forwarders Splunk et les méthodes d’ingestion de données distantes vers les indexers.Splunk Enterprise System Administration
Module 1 - Déploiement du serveur Splunk
- Présenter une vue d’ensemble de Splunk
- Identifier les composants de Splunk Enterprise
- Identifier les types de déploiement Splunk
- Lister les étapes d’installation de Splunk
- Utiliser les commandes CLI de Splunk
Module 2 - Splunk Server Monitoring
- Activer la Monitoring Console (MC)
- Identifier les types de licences Splunk
- Comprendre les violations de licence
- Ajouter et supprimer des licences
- Utiliser Splunk Diag
Module 3 - Applications Splunk
- Décrire les apps et add-ons Splunk
- Installer une application sur une instance Splunk
- Gérer l’accessibilité et les permissions des applications
Module 4 - Fichiers de configuration Splunk
- Décrire la structure des répertoires de configuration
- Comprendre le mécanisme de superposition des configurations (configuration layering)
- Utiliser btool pour analyser les paramètres de configuration
Module 5 - Splunk Indexes
- Comprendre le fonctionnement des index Splunk
- Identifier les types de index buckets
- Créer et manipuler des index
- Vue d’ensemble des metrics index
Module 6 - Gestion des index Splunk
- Revoir les fondamentaux de la gestion des index
- Identifier les bonnes pratiques de rétention des données
- Identifier les recommandations de sauvegarde
- Déplacer et supprimer des données d’index
- Comprendre l’utilisation du Fishbucket
- Restaurer un frozen bucket
Module 7 - Gestion des utilisateurs Splunk
- Ajouter des utilisateurs via l’authentification native
- Comprendre les rôles utilisateurs dans Splunk
- Créer un rôle personnalisé
- Gérer les utilisateurs
Module 8 - Configuration du forwarding de base
- Identifier les étapes de configuration des forwarders
- Configurer un Universal Forwarder
- Comprendre le Deployment Server
Module 9 - Recherche distribuée
- Comprendre le fonctionnement de la recherche distribuée
- Définir les rôles du search head et des search peers
Splunk Enterprise Data Administration
Module 1 - Introduction à l’administration des données
- Présenter une vue d’ensemble de Splunk
- Décrire les quatre phases du modèle distribué
- Décrire les types d’entrées de données et les paramètres de métadonnées
- Configurer des tests d’ingestion initiaux via Splunk Web
- Tester les index avec l’Input Staging
Module 2 - Ingestion des données – Staging
- Identifier les fichiers et répertoires de configuration Splunk
- Comprendre la priorité entre index-time et search-time
- Valider et mettre à jour les fichiers de configuration
Module 3 - Configuration des forwarders
- Identifier le rôle des indexers de production et des forwarders
- Comprendre et configurer les Universal Forwarders
- Comprendre et configurer les Heavy Forwarders
- Comprendre et configurer les forwarders intermédiaires
- Identifier les options supplémentaires des forwarders
Module 4 - Gestion des forwarders
- Comprendre le Splunk Deployment Server (DS)
- Gérer les forwarders via des deployment apps
- Configurer les clients de déploiement et les groupes de clients
- Superviser les activités de gestion des forwarders
Module 5 - Entrées de type Monitor
- Créer des entrées de surveillance de fichiers et répertoires
- Utiliser les paramètres optionnels des monitor inputs
- Déployer un monitor input distant
Module 6 - Entrées réseau et scriptées
- Créer des entrées réseau (TCP et UDP)
- Décrire les options avancées des entrées réseau
Module 7 - Entrées sans agent (Agentless)
- Créer une entrée scriptée simple
Module 8 - Optimisation des entrées
- Configurer le HTTP Event Collector (HEC) pour des entrées sans agent
- Présenter le Splunk App for Stream
Module 9 - Phase de parsing et données
- Identifier les entrées spécifiques Linux
- Identifier les entrées spécifiques Windows
Module 10 - Manipulation des données brutes
- Comprendre le traitement par défaut lors de la phase d’ingestion
- Configurer les options de parsing (sourcetype, encodage des caractères, etc.)
Module 11 - Knowledge Objects associés
- Comprendre le traitement par défaut lors du parsing
- Optimiser et configurer le découpage des événements (line breaking)
- Comprendre l’extraction et l’affectation des timestamps et fuseaux horaires
- Utiliser Data Preview pour valider la création des événements
Module 12 - Création d’un Diag
- Comprendre la définition et l’utilisation des transformations de données
- Utiliser les transformations via props.conf et transforms.conf pour :
- Masquer ou supprimer des données lors de l’indexation
- Redéfinir le sourcetype ou le host selon le contenu des événements
- Router les événements vers des index spécifiques
- Empêcher l’indexation d’événements non souhaités
- Utiliser SEDCMD pour modifier les données brutes
Module 13 - Knowledge Objects associés
- Définir les extractions de champs par défaut et personnalisées (search time)
- Identifier les avantages et inconvénients des extractions au moment de l’indexation
- Configurer les extractions de champs indexés
- Comprendre les extractions par défaut au moment de la recherche
- Gérer les knowledge objects orphelinsSplunk Enterprise System Administration
Module 1 - Déploiement du serveur Splunk
- Présenter une vue d’ensemble de Splunk
- Identifier les composants de Splunk Enterprise
- Identifier les types de déploiement Splunk
- Lister les étapes d’installation de Splunk
- Utiliser les commandes CLI de Splunk
Module 2 - Splunk Server Monitoring
- Activer la Monitoring Console (MC)
- Identifier les types de licences Splunk
- Comprendre les violations de licence
- Ajouter et supprimer des licences
- Utiliser Splunk Diag
Module 3 - Applications Splunk
- Décrire les apps et add-ons Splunk
- Installer une application sur une instance Splunk
- Gérer l’accessibilité et les permissions des applications
Module 4 - Fichiers de configuration Splunk
- Décrire la structure des répertoires de configuration
- Comprendre le mécanisme de superposition des configurations (configuration layering)
- Utiliser btool pour analyser les paramètres de configuration
Module 5 - Splunk Indexes
- Comprendre le fonctionnement des index Splunk
- Identifier les types de index buckets
- Créer et manipuler des index
- Vue d’ensemble des metrics index
Module 6 - Gestion des index Splunk
- Revoir les fondamentaux de la gestion des index
- Identifier les bonnes pratiques de rétention des données
- Identifier les recommandations de sauvegarde
- Déplacer et supprimer des données d’index
- Comprendre l’utilisation du Fishbucket
- Restaurer un frozen bucket
Module 7 - Gestion des utilisateurs Splunk
- Ajouter des utilisateurs via l’authentification native
- Comprendre les rôles utilisateurs dans Splunk
- Créer un rôle personnalisé
- Gérer les utilisateurs
Module 8 - Configuration du forwarding de base
- Identifier les étapes de configuration des forwarders
- Configurer un Universal Forwarder
- Comprendre le Deployment Server
Module 9 - Recherche distribuée
- Comprendre le fonctionnement de la recherche distribuée
- Définir les rôles du search head et des search peers
Splunk Enterprise Data Administration
Module 1 - Introduction à l’administration des données
- Présenter une vue d’ensemble de Splunk
- Décrire les quatre phases du modèle distribué
- Décrire les types d’entrées de données et les paramètres de métadonnées
- Configurer des tests d’ingestion initiaux via Splunk Web
- Tester les index avec l’Input Staging
Module 2 - Ingestion des données – Staging
- Identifier les fichiers et répertoires de configuration Splunk
- Comprendre la priorité entre index-time et search-time
- Valider et mettre à jour les fichiers de configuration
Module 3 - Configuration des forwarders
- Identifier le rôle des indexers de production et des forwarders
- Comprendre et configurer les Universal Forwarders
- Comprendre et configurer les Heavy Forwarders
- Comprendre et configurer les forwarders intermédiaires
- Identifier les options supplémentaires des forwarders
Module 4 - Gestion des forwarders
- Comprendre le Splunk Deployment Server (DS)
- Gérer les forwarders via des deployment apps
- Configurer les clients de déploiement et les groupes de clients
- Superviser les activités de gestion des forwarders
Module 5 - Entrées de type Monitor
- Créer des entrées de surveillance de fichiers et répertoires
- Utiliser les paramètres optionnels des monitor inputs
- Déployer un monitor input distant
Module 6 - Entrées réseau et scriptées
- Créer des entrées réseau (TCP et UDP)
- Décrire les options avancées des entrées réseau
Module 7 - Entrées sans agent (Agentless)
- Créer une entrée scriptée simple
Module 8 - Optimisation des entrées
- Configurer le HTTP Event Collector (HEC) pour des entrées sans agent
- Présenter le Splunk App for Stream
Module 9 - Phase de parsing et données
- Identifier les entrées spécifiques Linux
- Identifier les entrées spécifiques Windows
Module 10 - Manipulation des données brutes
- Comprendre le traitement par défaut lors de la phase d’ingestion
- Configurer les options de parsing (sourcetype, encodage des caractères, etc.)
Module 11 - Knowledge Objects associés
- Comprendre le traitement par défaut lors du parsing
- Optimiser et configurer le découpage des événements (line breaking)
- Comprendre l’extraction et l’affectation des timestamps et fuseaux horaires
- Utiliser Data Preview pour valider la création des événements
Module 12 - Création d’un Diag
- Comprendre la définition et l’utilisation des transformations de données
- Utiliser les transformations via props.conf et transforms.conf pour :
- Masquer ou supprimer des données lors de l’indexation
- Redéfinir le sourcetype ou le host selon le contenu des événements
- Router les événements vers des index spécifiques
- Empêcher l’indexation d’événements non souhaités
- Utiliser SEDCMD pour modifier les données brutes
Module 13 - Knowledge Objects associés
- Définir les extractions de champs par défaut et personnalisées (search time)
- Identifier les avantages et inconvénients des extractions au moment de l’indexation
- Configurer les extractions de champs indexés
- Comprendre les extractions par défaut au moment de la recherche
- Gérer les knowledge objects orphelins5 jours4000.004000.004000.004000.004000.003750.003750.003750.004000.004200.003750.003125.00400.00375.00375.00375.00375.00