Splunk - Pivot và Datasets
Splunk có thể nhập các loại nguồn dữ liệu khác nhau và xây dựng các bảng tương tự như bảng quan hệ. Chúng được gọi làtable dataset hoặc chỉ tables. Chúng cung cấp các cách dễ dàng để phân tích và lọc dữ liệu cũng như tra cứu, v.v. Các bộ dữ liệu bảng này cũng được sử dụng để tạo phân tích tổng hợp mà chúng ta tìm hiểu trong chương này.
Tạo tập dữ liệu
Chúng tôi sử dụng một Phần bổ trợ Splunk có tên là Phần bổ trợ Tập dữ liệu Splunk để tạo và quản lý các tập dữ liệu. Nó có thể được tải xuống từ trang web Splunk,https://splunkbase.splunk.com/app/3245/#/details.Nó phải được cài đặt bằng cách làm theo các hướng dẫn được cung cấp trong tab chi tiết trong liên kết này. Khi cài đặt thành công, chúng tôi thấy một nút có tênCreate New Table Dataset.
Chọn tập dữ liệu
Tiếp theo, chúng tôi nhấp vào Create New Table Dataset và nó cung cấp cho chúng tôi tùy chọn để chọn trong số ba tùy chọn bên dưới.
Indexes and Source Types - Chọn từ chỉ mục hoặc loại nguồn hiện có đã được thêm vào Splunk thông qua ứng dụng Thêm dữ liệu.
Existing Datasets - Bạn có thể đã tạo một số tập dữ liệu trước đó mà bạn muốn sửa đổi bằng cách tạo một tập dữ liệu mới từ nó.
Search - Viết một truy vấn tìm kiếm và kết quả có thể được sử dụng để tạo một tập dữ liệu mới.
Trong ví dụ của chúng tôi, chúng tôi chọn một chỉ mục làm nguồn tập dữ liệu của chúng tôi như thể hiện trong hình ảnh bên dưới -
Chọn trường tập dữ liệu
Khi nhấp vào OK trong màn hình trên, chúng ta sẽ thấy một tùy chọn để chọn các trường khác nhau mà chúng ta muốn đưa vào Tập dữ liệu bảng. Trường _time được chọn theo mặc định và không thể bỏ trường này. Chúng tôi chọn các trường:bytes, categoryID, clientIP và files.
Khi nhấp vào xong trong màn hình trên, chúng tôi nhận được bảng tập dữ liệu cuối cùng với tất cả các trường đã chọn, như được thấy bên dưới. Ở đây tập dữ liệu đã trở nên tương tự như một bảng quan hệ. Chúng tôi lưu tập dữ liệu vớisave as tùy chọn có sẵn ở góc trên cùng bên phải.
Tạo Pivot
Chúng tôi sử dụng tập dữ liệu trên để tạo báo cáo tổng hợp. Báo cáo tổng hợp phản ánh tổng hợp các giá trị của một cột so với các giá trị trong cột khác. Nói cách khác, giá trị một cột được tạo thành hàng và giá trị cột khác được tạo thành hàng.
Chọn hành động tập dữ liệu
Để đạt được điều này, trước tiên chúng tôi chọn tập dữ liệu bằng cách sử dụng tab tập dữ liệu và sau đó chọn tùy chọn Visualize with Pivot từ cột Hành động cho tập dữ liệu đó.
Chọn các trường tổng hợp
Tiếp theo, chúng tôi chọn các trường thích hợp để tạo bảng tổng hợp. Chúng tôi chọn ID danh mục trongsplit columnsvì đây là trường có các giá trị sẽ xuất hiện dưới dạng các cột khác nhau trong báo cáo. Sau đó, chúng tôi chọn Tệp trongSplit Rowsvì đây là trường có các giá trị phải được trình bày theo hàng. Kết quả hiển thị số lượng từng giá trị categoryid cho mỗi giá trị trong trường tệp.
Tiếp theo, chúng ta có thể lưu bảng tổng hợp dưới dạng Báo cáo hoặc một bảng trong trang tổng quan hiện có để tham khảo trong tương lai.