Splunk может принимать различные типы источников данных и создавать таблицы, которые похожи на реляционные таблицы. Они называются набором табличных данных или просто таблицами . Они предоставляют простые способы анализа и фильтрации данных и поиска и т. Д. Эти наборы табличных данных также используются при создании сводного анализа, который мы изучим в этой главе.
Создание набора данных
Мы используем надстройку Splunk с именем Надстройка наборов данных Splunk для создания и управления наборами данных. Его можно загрузить с веб-сайта Splunk, https://splunkbase.splunk.com/app/3245/#/details. Его необходимо установить, следуя инструкциям, приведенным на вкладке сведений в этой ссылке. При успешной установке мы видим кнопку с именем Create New Table Dataset .
Выбор набора данных
Затем мы нажимаем кнопку « Создать новый набор табличных данных» , и она дает нам возможность выбрать один из трех вариантов ниже.
-
Индексы и типы источников — выберите из существующего индекса или типа источника, которые уже добавлены в Splunk через приложение «Добавить данные».
-
Существующие наборы данных. Возможно, вы уже создали ранее некоторый набор данных, который хотите изменить, создав из него новый набор данных.
-
Поиск — напишите поисковый запрос, и результат может быть использован для создания нового набора данных.
Индексы и типы источников — выберите из существующего индекса или типа источника, которые уже добавлены в Splunk через приложение «Добавить данные».
Существующие наборы данных. Возможно, вы уже создали ранее некоторый набор данных, который хотите изменить, создав из него новый набор данных.
Поиск — напишите поисковый запрос, и результат может быть использован для создания нового набора данных.
В нашем примере мы выбираем индекс, который будет нашим источником набора данных, как показано на рисунке ниже —
Выбор полей набора данных
При нажатии кнопки «ОК» на приведенном выше экране нам предоставляется возможность выбрать различные поля, которые мы хотим в итоге получить в наборе данных таблицы. Поле _time выбрано по умолчанию, и это поле нельзя удалить. Мы выбираем поля: байты, categoryID, clientIP и файлы .
При нажатии на кнопку «Готово» на приведенном выше экране мы получаем итоговую таблицу набора данных со всеми выбранными полями, как показано ниже. Здесь набор данных стал похож на реляционную таблицу. Мы сохраняем набор данных с помощью опции сохранить как, доступной в верхнем правом углу.
Создание Pivot
Мы используем вышеупомянутый набор данных для создания сводного отчета. Сводный отчет отражает агрегацию значений одного столбца по отношению к значениям в другом столбце. Другими словами, значения одного столбца превращаются в строки, а значения других столбцов превращаются в строки.
Выберите действие набора данных
Чтобы достичь этого, сначала мы выбираем набор данных на вкладке набора данных, а затем выбираем опцию Визуализировать с помощью сводной диаграммы в столбце Действия для этого набора данных.
Выберите поля сводок
Далее мы выбираем соответствующие поля для создания сводной таблицы. Мы выбираем идентификатор категории в опции разделения столбцов, так как это поле, значения которого должны отображаться в разных столбцах отчета. Затем мы выбираем File в опции Split Rows, так как это поле, значения которого должны быть представлены в строках. Результат показывает количество значений каждой категории для каждого значения в поле файла.
Затем мы можем сохранить сводную таблицу как отчет или панель в существующей панели мониторинга для дальнейшего использования.