Splunk tag 的利用场景

最近的一场Splunk tag 的培训，让我对这个不起眼的tag 功能刮目相看，原来这个tag 可以根据自己的需要来group 分组一些event, 通常都是eventtpe 来分组：

先看官方文档：

Tag the host field - Splunk Documentation

1: search for all event:

We can see so many hosts list as below:

2: using tag to group them:

关于tag 的最终定义，可以看：

3: check tag status:

4: checking in splunk searching:

5: best practice:

通常可以对 eventtype 进行group:

当然如果一个tag 需要修改：

可以去下面的地方：

6: 通过查询来看tag 具体一一对应关系内容：