Splunk 简明教程

Splunk - Pivot and Datasets

Splunk 可以摄取不同类型的数据源并构建类似于关系表的表。这些称为 table dataset 或仅仅称为 tables 。它们提供了一种简单的方法来分析和筛选数据和查找等。这些表数据集也用于创建枢轴分析,我们将在本章中学习。

Creating a Dataset

我们使用名为 Splunk 数据集插件的 Splunk 附加组件来创建和管理数据集。可以在 Splunk 网站下载,链接:https://splunkbase.splunk.com/app/3245/ /details[https://splunkbase.splunk.com/app/3245/ /details。]必须按照此链接中的 Details 选项卡中提供的说明进行安装。安装成功后,我们会看到一个名为 Create New Table Dataset 的按钮。

datasets pivot 1

Selecting a Dataset

接下来,我们单击 Create New Table Dataset 按钮,它让我们可以选择以下三个选项。

  1. Indexes and Source Types − 从已通过添加数据应用添加到 Splunk 的现有索引或源类型中选择。

  2. Existing Datasets − 您可能已经创建了一些数据集,您想要通过从中创建一个新的数据集来修改这些数据集。

  3. Search − 编写一个搜索查询,结果可用于创建一个新的数据集。

在我们的示例中,我们选择了一个索引作为我们的数据集源,如下图所示 −

datasets pivot 2

Choosing Dataset Fields

点击上屏的“确定”,将会向我们提供一个选项,让我们选择最终想要放入表数据集的各种字段。_time 字段默认选中,该字段不可删除。我们选择以下字段: bytes, categoryID, clientIPfiles

datasets pivot 3

点击上屏中的“完成”,我们将会获得最终数据集表,其中包含所有选定字段,如下所示。此处,数据集已变得类似于一个关系表。我们使用右上角的 save as 选项保存数据集。

datasets pivot 4

Creating Pivot

我们使用上方的数据集来创建一个透视报告。透视报告反映了基于另一列中的值,对一列的值进行聚合。换言之,一列的值变成行,而另一列的值变成行。

Choose Dataset Action

要实现此目的,我们首先使用数据集选项卡选择数据集,然后为该数据集从“操作”列中选择 Visualize with Pivot 选项。

datasets pivot 5

Choose the Pivot Fields

接下来,我们选择用于创建透视表的适当字段。我们选择 split columns 选项中的“类别 ID”,因为该字段的值应在报表中显示为不同的列。然后我们在 Split Rows 选项中选择“文件”,因为该字段的值应显示在行中。结果显示了 file 字段中每个值的每个 categoryid 值的计数。

datasets pivot 6

接下来,我们可以将透视表保存为报表或现有仪表板中的面板,以供将来参考。