- Splunk 教程
- Splunk - 首頁
- Splunk - 概述
- Splunk - 環境
- Splunk - 介面
- Splunk - 資料匯入
- Splunk - 資料來源型別
- Splunk - 基本搜尋
- Splunk - 欄位搜尋
- Splunk - 時間範圍搜尋
- Splunk - 分享和匯出
- Splunk - 搜尋語言
- Splunk - 搜尋最佳化
- Splunk - 資料轉換命令
- Splunk - 報表
- Splunk - 儀表盤
- Splunk - 透視表和資料集
- Splunk - 資料查詢
- Splunk - 定時任務和告警
- Splunk - 知識管理
- Splunk - 子搜尋
- Splunk - 搜尋宏
- Splunk - 事件型別
- Splunk - 基本圖表
- Splunk - 疊加圖表
- Splunk - 迷你圖表
- Splunk - 管理索引
- Splunk - 計算欄位
- Splunk - 標籤
- Splunk - 應用
- Splunk - 刪除資料
- Splunk - 自定義圖表
- Splunk - 檔案監控
- Splunk - 排序命令
- Splunk - top 命令
- Splunk - stats 命令
- Splunk 有用資源
- Splunk - 快速指南
- Splunk - 有用資源
- Splunk - 討論
Splunk - 透視表和資料集
Splunk 可以匯入不同型別的資料來源並構建類似於關係型資料庫表的表格。這些被稱為表格資料集或簡稱表格。它們提供了一種簡單的方法來分析和過濾資料以及進行資料查詢等操作。這些表格資料集也用於建立透視分析,我們將在本章中學習。
建立資料集
我們使用名為 Splunk 資料集外掛的 Splunk 外掛來建立和管理資料集。它可以從 Splunk 網站下載,https://splunkbase.splunk.com/app/3245/#/details. 必須按照此連結詳細資訊選項卡中給出的說明進行安裝。安裝成功後,我們將看到一個名為建立新的表格資料集的按鈕。
選擇資料集
接下來,我們點選建立新的表格資料集按鈕,它會提供以下三個選項。
索引和資料來源型別 - 從已新增到 Splunk 的現有索引或資料來源型別中選擇(透過“新增資料”應用)。
現有資料集 - 您可能之前已經建立了一些資料集,您可以透過從現有資料集建立新的資料集來修改它們。
搜尋 - 編寫搜尋查詢,其結果可用於建立新的資料集。
在我們的示例中,我們選擇一個索引作為我們的資料集資料來源,如下圖所示:
選擇資料集欄位
在上面的螢幕中點選“確定”後,我們將看到一個選項,可以選擇我們最終想要新增到表格資料集中的各個欄位。`_time` 欄位預設選中,此欄位不可刪除。我們選擇的欄位是:bytes、categoryID、clientIP 和 files。
在上面的螢幕中點選“完成”後,我們將得到包含所有選中欄位的最終資料集表,如下所示。在這裡,資料集已變得類似於關係型資料庫表。我們使用右上角的另存為選項儲存資料集。
建立透視表
我們使用上述資料集來建立透視表報表。透視表報表反映了一列值相對於另一列值的聚合。換句話說,一列的值構成行,另一列的值構成列。
選擇資料集操作
為此,我們首先使用資料集選項卡選擇資料集,然後從該資料集的操作列中選擇使用透視表視覺化選項。
選擇透視表字段
接下來,我們選擇建立透視表的適當欄位。我們將 `category ID` 選擇為拆分列選項,因為此欄位的值應在報表中顯示為不同的列。然後,我們將 `File` 選擇為拆分行選項,因為此欄位的值應在行中顯示。結果顯示了每個 `categoryid` 值在 `file` 欄位中每個值的計數。
接下來,我們可以將透視表另存為報表或現有儀表盤中的面板,以便日後參考。