Splunk – 透视和数据集
Splunk – 透视和数据集
Splunk 可以摄取不同类型的数据源并构建类似于关系表的表。这些被称为表数据集或只是表。它们提供了分析和过滤数据和查找等的简单方法。这些表数据集也用于创建我们在本章中学习的数据透视分析。
创建数据集
我们使用名为 Splunk Datasets Add-on 的 Splunk Add-on 来创建和管理数据集。它可以从 Splunk 网站https://splunkbase.splunk.com/app/3245/#/details下载。必须按照此链接中详细信息选项卡中给出的说明进行安装。成功安装后,我们会看到一个名为Create New Table Dataset的按钮。
选择数据集
接下来,我们单击Create New Table Dataset按钮,它为我们提供了从以下三个选项中进行选择的选项。
-
索引和源类型– 从已通过添加数据应用程序添加到 Splunk 的现有索引或源类型中进行选择。
-
现有数据集– 您之前可能已经创建了一些要通过从中创建新数据集来修改的数据集。
-
搜索– 编写搜索查询,结果可用于创建新数据集。
在我们的示例中,我们选择一个索引作为我们的数据集源,如下图所示 –
选择数据集字段
在上面的屏幕中单击“确定”后,我们会看到一个选项,用于选择我们希望最终进入表数据集的各种字段。_time 字段默认选中,该字段不能删除。我们选择字段:bytes, categoryID, clientIP和files。
在上面的屏幕中单击完成后,我们将获得包含所有选定字段的最终数据集表,如下所示。在这里,数据集变得类似于关系表。我们使用右上角的另存为选项保存数据集。
创建枢轴
我们使用上述数据集来创建数据透视报告。透视报表反映一列值相对于另一列值的聚合。换句话说,一列值组成行,另一列值组成行。
选择数据集操作
为此,我们首先使用数据集选项卡选择数据集,然后从该数据集的 Actions 列中选择Visualize with Pivot选项。
选择枢轴字段
接下来,我们选择适当的字段来创建数据透视表。我们在拆分列选项中选择类别 ID,因为这是其值应在报告中显示为不同列的字段。然后我们在Split Rows选项中选择 File,因为这是其值应按行显示的字段。结果显示文件字段中每个值的每个 categoryid 值的计数。
接下来,我们可以将数据透视表保存为现有仪表板中的报告或面板以供将来参考。