Splunk - Pivot y conjuntos de datos

Splunk puede ingerir diferentes tipos de fuentes de datos y crear tablas que son similares a las tablas relacionales. Estos se llamantable dataset o solo tables. Proporcionan formas sencillas de analizar y filtrar los datos y las búsquedas, etc. Estos conjuntos de datos de tablas también se utilizan para crear análisis dinámicos que aprendemos en este capítulo.

Crear un conjunto de datos

Usamos un complemento de Splunk llamado Complemento de conjuntos de datos de Splunk para crear y administrar los conjuntos de datos. Puede descargarse del sitio web de Splunk,https://splunkbase.splunk.com/app/3245/#/details.Tiene que ser instalado siguiendo las instrucciones dadas en la pestaña de detalles en este enlace. En una instalación exitosa, vemos un botón llamadoCreate New Table Dataset.

Seleccionar un conjunto de datos

A continuación, hacemos clic en el Create New Table Dataset y nos da la opción de elegir entre las tres opciones siguientes.

  • Indexes and Source Types - Elija entre un índice o tipo de fuente existente que ya se agregaron a Splunk a través de la aplicación Agregar datos.

  • Existing Datasets - Es posible que ya haya creado algún conjunto de datos anteriormente que desee modificar creando un nuevo conjunto de datos a partir de él.

  • Search - Escriba una consulta de búsqueda y el resultado se puede utilizar para crear un nuevo conjunto de datos.

En nuestro ejemplo, elegimos un índice para que sea nuestra fuente de conjunto de datos como se muestra en la imagen a continuación:

Elegir campos de conjuntos de datos

Al hacer clic en Aceptar en la pantalla anterior, se nos presenta una opción para elegir los diversos campos que queremos que finalmente ingresen al conjunto de datos de la tabla. El campo _time está seleccionado de forma predeterminada y este campo no se puede quitar. Elegimos los campos:bytes, categoryID, clientIP y files.

Al hacer clic en Hecho en la pantalla anterior, obtenemos la tabla del conjunto de datos final con todos los campos seleccionados, como se ve a continuación. Aquí, el conjunto de datos se ha vuelto similar a una tabla relacional. Guardamos el conjunto de datos consave as opción disponible en la esquina superior derecha.

Crear pivote

Usamos el conjunto de datos anterior para crear un informe dinámico. El informe dinámico refleja la agregación de valores de una columna con respecto a los valores de otra columna. En otras palabras, los valores de una columna se convierten en filas y los valores de otra columna se convierten en filas.

Elija la acción del conjunto de datos

Para lograr esto, primero seleccionamos el conjunto de datos usando la pestaña conjunto de datos y luego elegimos la opción Visualize with Pivot de la columna Acciones para ese conjunto de datos.

Elija los campos dinámicos

A continuación, elegimos los campos apropiados para crear la tabla dinámica. Elegimos ID de categoría en elsplit columnsopción, ya que este es el campo cuyos valores deben aparecer como columnas diferentes en el informe. Luego elegimos Archivo en elSplit Rowsopción ya que este es el campo cuyos valores deben presentarse en filas. El resultado muestra el recuento de cada valor de categoryid para cada valor en el campo del archivo.

A continuación, podemos guardar la tabla dinámica como un Informe o un panel en un tablero existente para referencia futura.