Splunk - 数据透视和数据集


Splunk可以摄取不同类型的数据源并构建类似于关系表的表。这些称为表数据集或简称。它们提供了简单的方法来分析和过滤数据以及查找等。这些表数据集也用于创建我们在本章中学习的枢轴分析。

创建数据集

我们使用名为 Splunk Datasets Add-on 的 Splunk Add-on 来创建和管理数据集。它可以从 Splunk 网站下载,https://splunkbase.splunk.com/app/3245/#/details。必须按照此链接的详细信息选项卡中给出的说明进行安装。成功安装后,我们会看到一个名为Create New Table Dataset的按钮。

数据集 Pivot1

选择数据集

接下来,我们单击“创建新表数据集”按钮,它为我们提供了从以下三个选项中进行选择的选项。

  • 索引和源类型- 从已通过“添加数据”应用程序添加到 Splunk 的现有索引或源类型中进行选择。

  • 现有数据集- 您之前可能已经创建了一些数据集,您希望通过从中创建新数据集来对其进行修改。

  • 搜索- 编写搜索查询,结果可用于创建新的数据集。

在我们的示例中,我们选择一个索引作为数据集的来源,如下图所示 -

数据集枢轴

选择数据集字段

在上面的屏幕中单击“确定”后,我们会看到一个选项来选择我们想要最终进入表数据集的各个字段。默认选择 _time 字段,并且无法删除该字段。我们选择字段:bytes、categoryID、clientIPfiles

数据集枢轴

单击上面屏幕中的“完成”后,我们将获得包含所有选定字段的最终数据集表,如下所示。这里的数据集变得类似于关系表。我们使用右上角的“另存为”选项来保存数据集。

数据集枢轴

创建枢轴

我们使用上面的数据集来创建数据透视报告。数据透视报告反映一列中的值相对于另一列中的值的聚合。换句话说,一列值被制成行,另一列值被制成行。

选择数据集操作

为此,我们首先使用数据集选项卡选择数据集,然后从该数据集的“操作”列中选择“使用数据透视进行可视化”选项。

数据集枢轴

选择数据透视表字段

接下来,我们选择适当的字段来创建数据透视表。我们在拆分列选项中选择类别 ID ,因为该字段的值应在报告中显示为不同的列。然后我们在“拆分行”选项中选择“文件” ,因为这是其值应以行形式显示的字段。结果显示文件字段中每个值的每个类别ID 值的计数。

数据集枢轴

接下来,我们可以将数据透视表保存为现有仪表板中的报表或面板以供将来参考。