Los " Data Model " de Splunk nos pueden servir de gran ayuda en muchos proyectos, en el caso de tener un gran cantidad de registros (miles de millones). Aunque esta es una novedad introducida hace tiempo, aún existen despliegues donde no se usan, es bastante habitual verlo en las App de seguridad, como por ejemplo Palo Alto Algunas de las ventajas de disponer de nuestro Data Model Nos permite crear modelos de datos acelerados, podemos elegir por ejemplo disponer de los últimos 30 días acelerados. Además, poder crear campos ad hoc, crear extracciones, enriquecer la información con lookups..., y todo esto mantenerlo en un modelo aparte a los datos raw. Con esta información enriquecida, podemos usar los Pivot , estos nos permite dar acceso a usuarios a construirse sus propios informes, de una manera muy sencilla y visual, sin tener que conocer SPL, aquí os dejo un par de links Doc oficial Video De esta manera podemos conseguir acceder a nuestra información d...
