Splunk - Pivot e conjuntos de dados

O Splunk pode ingerir diferentes tipos de fontes de dados e criar tabelas que são semelhantes às tabelas relacionais. Estes são chamadostable dataset ou apenas tables. Eles fornecem maneiras fáceis de analisar e filtrar os dados e pesquisas, etc. Esses conjuntos de dados de tabela também são usados ​​na criação da análise dinâmica que aprenderemos neste capítulo.

Criação de um conjunto de dados

Usamos um complemento Splunk denominado complemento de conjuntos de dados Splunk para criar e gerenciar os conjuntos de dados. Ele pode ser baixado do site da Splunk,https://splunkbase.splunk.com/app/3245/#/details.Ele deve ser instalado seguindo as instruções fornecidas na guia de detalhes neste link. Na instalação bem-sucedida, vemos um botão chamadoCreate New Table Dataset.

Selecionando um conjunto de dados

Em seguida, clicamos no Create New Table Dataset botão e nos dá a opção de escolher entre as três opções abaixo.

  • Indexes and Source Types - Escolha a partir de um índice existente ou tipo de fonte que já foi adicionado ao Splunk por meio do aplicativo Adicionar dados.

  • Existing Datasets - Você pode já ter criado algum conjunto de dados anteriormente que deseja modificar, criando um novo conjunto de dados a partir dele.

  • Search - Escreva uma consulta de pesquisa e o resultado pode ser usado para criar um novo conjunto de dados.

Em nosso exemplo, escolhemos um índice para ser nossa fonte de conjunto de dados, conforme mostrado na imagem abaixo -

Escolha de campos de conjunto de dados

Ao clicar em OK na tela acima, nos é apresentada uma opção para escolher os vários campos que queremos finalmente entrar no Dataset da Tabela. O campo _time é selecionado por padrão e este campo não pode ser descartado. Nós escolhemos os campos:bytes, categoryID, clientIP e files.

Ao clicar em concluído na tela acima, obtemos a tabela final do conjunto de dados com todos os campos selecionados, conforme visto a seguir. Aqui, o conjunto de dados tornou-se semelhante a uma tabela relacional. Salvamos o conjunto de dados comsave as opção disponível no canto superior direito.

Criando Pivô

Usamos o conjunto de dados acima para criar um relatório dinâmico. O relatório dinâmico reflete a agregação de valores de uma coluna em relação aos valores de outra coluna. Em outras palavras, os valores de uma coluna são transformados em linhas e os valores de outras colunas são transformados em linhas.

Escolha a ação do conjunto de dados

Para conseguir isso, primeiro selecionamos o conjunto de dados usando a guia do conjunto de dados e, em seguida, escolhemos a opção Visualize with Pivot na coluna Ações desse conjunto de dados.

Escolha os Campos Dinâmicos

Em seguida, escolhemos os campos apropriados para criar a tabela dinâmica. Escolhemos o ID da categoria nosplit columnsopção, pois este é o campo cujos valores devem aparecer como colunas diferentes no relatório. Em seguida, escolhemos Arquivo noSplit Rowsopção porque este é o campo cujos valores devem ser apresentados em linhas. O resultado mostra a contagem de cada valores de categoryid para cada valor no campo do arquivo.

Em seguida, podemos salvar a tabela dinâmica como um Relatório ou um painel em um painel existente para referência futura.