Splunk 透视和数据集

Splunk 可以摄取不同类型的数据源并构建类似于关系表的表。这些被称为 表数据集或只是 。它们提供了分析和过滤数据以及查找等的简单方法。这些表数据集还用于创建我们在本章中学习的数据透视分析。

创建数据集

我们使用名为 Splunk Datasets Add-on 的 Splunk Add-on 来创建和管理数据集。它可以从 Splunk 网站下载,https://splunkbase.splunk .com/app/3245/#/details。 必须按照此链接中详细信息选项卡中给出的说明进行安装。安装成功后,我们会看到一个名为 Create New Table Dataset 的按钮。

Datasets Pivot1

选择数据集

接下来,我们单击 创建新表数据集按钮,它为我们提供了从以下三个选项中进行选择的选项。

  • 索引和源类型-从已通过添加数据应用添加到 Splunk 的现有索引或源类型中进行选择。
  • 现有数据集-您之前可能已经创建了一些数据集,您希望通过从中创建新数据集来修改这些数据集。
  • 搜索-编写搜索查询,结果可用于创建新数据集。

在我们的示例中,我们选择一个索引作为我们的数据集源,如下图所示:

Datasets Pivot

选择数据集字段

在上面的屏幕中单击"确定"后,我们会看到一个选项,用于选择我们希望最终进入表数据集的各种字段。 _time 字段默认选中,该字段不能删除。我们选择字段: bytes、categoryID、clientIPfiles

Datasets Pivot

在上面的屏幕中单击完成后,我们将获得包含所有选定字段的最终数据集表,如下所示。在这里,数据集变得类似于关系表。我们使用右上角的 另存为选项保存数据集。

Datasets Pivot

创建枢轴

我们使用上述数据集来创建数据透视报告。透视报表反映一列值相对于另一列值的聚合。换句话说,一列值组成行,另一列值组成行。

选择数据集操作

为了实现这一点,我们首先使用数据集选项卡选择数据集,然后从该数据集的"操作"列中选择选项 使用数据透视图进行可视化

Datasets Pivot

选择枢轴字段

接下来,我们选择适当的字段来创建数据透视表。我们在 拆分列 选项中选择类别 ID,因为这是其值应在报告中显示为不同列的字段。然后我们在 Split Rows 选项中选择 File,因为这是其值应按行显示的字段。结果显示文件字段中每个值的每个 categoryid 值的计数。

Datasets Pivot

接下来,我们可以将数据透视表保存为现有仪表板中的报告或面板以供将来参考。

下一章:Splunk 查找

 在搜索查询的结果中,我们有时会得到可能无法清楚表达字段含义的值。例如,我们可能会得到一个字段,该字段将产品 id 的值列为数字结果。这些数字不会让我们知道它是什么类型的产品。但是,如果我们将产品名称与产品 I ...