- Splunk 教程
- Splunk - 首页
- Splunk - 概述
- Splunk - 环境
- Splunk - 接口
- Splunk - 数据导入
- Splunk - 数据源类型
- Splunk - 基本搜索
- Splunk - 字段搜索
- Splunk - 时间范围搜索
- Splunk - 分享和导出
- Splunk - 搜索语言
- Splunk - 搜索优化
- Splunk - 数据转换命令
- Splunk - 报表
- Splunk - 仪表盘
- Splunk - 透视表和数据集
- Splunk - 数据查找
- Splunk - 定时任务和告警
- Splunk - 知识管理
- Splunk - 子搜索
- Splunk - 搜索宏
- Splunk - 事件类型
- Splunk - 基本图表
- Splunk - 叠加图表
- Splunk - 迷你图表
- Splunk - 管理索引
- Splunk - 计算字段
- Splunk - 标签
- Splunk - 应用
- Splunk - 删除数据
- Splunk - 自定义图表
- Splunk - 文件监控
- Splunk - 排序命令
- Splunk - top 命令
- Splunk - stats 命令
- Splunk 有用资源
- Splunk - 快速指南
- Splunk - 有用资源
- Splunk - 讨论
Splunk - 透视表和数据集
Splunk 可以导入不同类型的数据源并构建类似于关系型数据库表的表格。这些被称为表格数据集或简称表格。它们提供了一种简单的方法来分析和过滤数据以及进行数据查找等操作。这些表格数据集也用于创建透视分析,我们将在本章中学习。
创建数据集
我们使用名为 Splunk 数据集插件的 Splunk 插件来创建和管理数据集。它可以从 Splunk 网站下载,https://splunkbase.splunk.com/app/3245/#/details. 必须按照此链接详细信息选项卡中给出的说明进行安装。安装成功后,我们将看到一个名为创建新的表格数据集的按钮。
选择数据集
接下来,我们点击创建新的表格数据集按钮,它会提供以下三个选项。
索引和数据源类型 - 从已添加到 Splunk 的现有索引或数据源类型中选择(通过“添加数据”应用)。
现有数据集 - 您可能之前已经创建了一些数据集,您可以通过从现有数据集创建新的数据集来修改它们。
搜索 - 编写搜索查询,其结果可用于创建新的数据集。
在我们的示例中,我们选择一个索引作为我们的数据集数据源,如下图所示:
选择数据集字段
在上面的屏幕中点击“确定”后,我们将看到一个选项,可以选择我们最终想要添加到表格数据集中的各个字段。`_time` 字段默认选中,此字段不可删除。我们选择的字段是:bytes、categoryID、clientIP 和 files。
在上面的屏幕中点击“完成”后,我们将得到包含所有选中字段的最终数据集表,如下所示。在这里,数据集已变得类似于关系型数据库表。我们使用右上角的另存为选项保存数据集。
创建透视表
我们使用上述数据集来创建透视表报表。透视表报表反映了一列值相对于另一列值的聚合。换句话说,一列的值构成行,另一列的值构成列。
选择数据集操作
为此,我们首先使用数据集选项卡选择数据集,然后从该数据集的操作列中选择使用透视表可视化选项。
选择透视表字段
接下来,我们选择创建透视表的适当字段。我们将 `category ID` 选择为拆分列选项,因为此字段的值应在报表中显示为不同的列。然后,我们将 `File` 选择为拆分行选项,因为此字段的值应在行中显示。结果显示了每个 `categoryid` 值在 `file` 字段中每个值的计数。
接下来,我们可以将透视表另存为报表或现有仪表盘中的面板,以便日后参考。