splunk_6.0教程

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

Splunk5.0Splunk数据可视化手册数据可视化手册生成时间:2012年10月31日,下午2:43版权所有©2012Splunk,Inc.保留所有权利。Copyright(c)2013Splunk,Inc.AllRightsReserved33331315191922242424252632404242434748556679818187878889103108108126128TableofContents简介简介关于本手册Splunk可视化选项可视化选项可视化参考可视化的数据结构要求了解基本表和图表钻取操作创建、保存和共享报表创建、保存和共享报表使用报表构建器定义报表保存报表并共享给其他人仪表板:概述仪表板:概述仪表板概述Splunk默认仪表板在在Splunk网站中构建仪表板网站中构建仪表板通过Splunk网站来创建和编辑仪表板编辑仪表板面板可视化生成仪表板PDF使用简化使用简化XML构建仪表板构建仪表板简化XML概述使用简化XML来构建和编辑仪表板使用简单XML来构建和编辑表单仪表板和表单中的动态钻取仪表板示例表单示例图表自定义简化简化XML视图参考视图参考简化XML的面板参考自定义图表配置参考自定义图表配置参考自定义图表配置参考概述关于JSChart(Splunk的主要图表库)图表和图例属性轴和网格线属性工具提示属性字体、颜色、笔刷、形状及相关选项板属性高级配置-布局和数据表格属性高级配置-textBlock、layoutSprite和sprite属性简介简介关于本手册关于本手册通过Splunk功能强大的IT搜索操作来调查问题并收集有关您的企业的重要知识,这只是总体过程的第一部分。利用Splunk的功能来快速分析您通过搜索所发现的信息,并使用它来以报表和图表形式创建引人注目的可视化表示。本手册包含众多主题,其中涉及如何使用Splunk来创建有用的搜索数据可视化,以及您可以通过哪些方法来确保其他人看到您所创建的内容(通过仪表板、以电子邮件发送的PDF等)。了解了解Splunk数据可视化数据可视化了解您可以创建哪些不同类型的可视化(表格、图表、事件列表等)。您可以熟悉不同可视化类型的数据结构要求,以更好地了解如何为其设计搜索。更好地了解图表和表格钻取如何工作。构建报表构建报表弄清Splunk报表构建器如何能够快速定义、生成复杂的报表并设置格式。了解如何保存您的报表并共享给其他人。创建和维护仪表板创建和维护仪表板了解您的企业如何设计仪表板视图,以包含图表来显示那些对日常业务流程至关重要的数据。弄清如何使用Splunk网站UI来创建并维护仪表板。了解如何使用“可视化编辑器”来更改仪表板面板可视化并设置其格式。弄清如何生成仪表板的PDF,并通过电子邮件定期将仪表板PDF发送给其他人。Splunk可视化选项可视化选项可视化参考可视化参考Splunk提供了许多搜索结果可视化选项。除了简单的“事件列表”可视化之外,您还可以查看以表格和图表形式(如柱形图、折线图、面积图和饼图)显示的事件数据。如果您使用的搜索只生成单个离散数字值,则可以使用各种仪表和单值显示来对它进行可视化。在本主题中,我们提供一些Splunk可视化选项的示例。不过,我们首先会介绍您可以用来访问Splunk可视化功能的不同方法。必须注意,如果您使用的搜索所返回的数据并不具备某些可视化选项所支持的数据结构,这时您的可视化选项会存在必须注意,如果您使用的搜索所返回的数据并不具备某些可视化选项所支持的数据结构,这时您的可视化选项会存在限制。限制。例如,您需要一个报表命令报表命令(如stats、timechart或top)来返回支持表格与图表可视化(如柱形图、条形图、折线图、面积图和饼图)的数据结构的搜索结果。有关更多信息,请参阅本手册中的“可视化的数据结构要求”。有关使用报表命令来构建搜索的更多信息,请参阅《搜索手册》中的“关于报表命令”。访问访问Splunk可视化定义功能可视化定义功能通过Splunk网站UI可以轻松地访问Splunk的可视化定义功能。您有四个选项;您选择的选项取决于当时的需求及要放在可视化的使用项目(如果有)。您可以:更改更改Splunk在在“搜索搜索”应用的时间线视图中显示搜索结果的方式。应用的时间线视图中显示搜索结果的方式。当您在“搜索”应用中运行某个搜索之后,您可以使用结果部分顶部显示的可视化图标来更改Splunk显示结果的方式。您可以选择下列三种可视化类型之一:事件列表、表格和结果图表(其中包括诸如柱形图、折线图和饼图等图表类型,以及仪表和单值可视化等)。请记住,如果搜索返回的数据不具备某些表格与图表选项所支持的数据结构,则这些选项可能不可用(请参阅前面有关数据结构的注释)。根据搜索来构建仪表板面板可视化。根据搜索来构建仪表板面板可视化。当您根据搜索来创建新的仪表板面板时,您可以选择最能代表搜索所返回数据的可视化-它可以显示为事件列表、表格、图表(例如柱形图、折线图或饼图)、仪表或单值可视化。然后,您可以使用“可视化编辑器”来微调面板可视化的显示方式。当您运行要将仪表板面板作为基础建构的搜索之后,单击创建创建并选择仪表板面板...以访问“创建仪表板面板”对话框。3有关创建和编辑建仪表板的更多信息,请参阅本手册中的“创建和编辑简单仪表板”和“编辑仪表板面板可视化”主题。注意:注意:这种可视化设计的方法可以为您提供比该列表中其他方法更多的制图选项。使用使用“报表构建器报表构建器”来设计适合可视化的搜索,并将其结果打包为报表。来设计适合可视化的搜索,并将其结果打包为报表。如果您不熟悉如何使用报表命令报表命令来设计搜索以返回适合表格与图表的结果,则此选项特别有用。“报表构建器”可以引导您完成创建此类搜索的过程。当您运行要将仪表板面板作为基础建构的搜索之后,单击创建创建并选择仪表板面板...以访问“创建仪表板面板”对话框。有关使用“报表构建器”来构建报表的更多信息,请参阅本手册中的“使用“报表构建器”定义报表”。使用使用“高级图表高级图表”视图来快速设计可视化。视图来快速设计可视化。如果您确定有能力使用报表命令来创建搜索,确切知道您的报表内容,并且希望快速完成这些工作,请使用此视图。从仪表板和视图仪表板和视图菜单中选择高级图表以进入该视图。有关此视图的更多信息,请参阅本手册中的“使用报表丰富的仪表板和视图”。事件事件事件可视化在本质上是事件的原始列表。您可以从任何不包含转换操作的搜索中获得事件可视化,例如使用stats、chart、timechart、top或rare等报表命令的搜索。例如,如果您只是搜索一组术语和字段值,则最终会获得事件列表:errorORfailedORsevereOR(sourcetype=access_*(404OR500OR503))不过,如果您为此搜索添加一个报表命令,则会获得统计结果,该结果可以显示为表格或图表,但不是事件列表:errorORfailedORsevereOR(sourcetype=access_*(404OR500OR503))|statscountbyhost以下事件可视化将列出在所有时间中发生的索引错误。它是基于此搜索:index=_internalNOT(source=*searches.log)(ERRORORFATAL)AND(STMgrORHotDBManagerORdatabasePartitionPolicyORMPoolORTPoolORtimeinvertedIndexORStreamGroupORIndexableValue)您可以在“索引运行状况”状态仪表板中找到此仪表板面板;这是由Splunk附带的仪表板。4通过事件列表可视化,您可以:确定所列出的事件数量。确定是否在每个事件的左侧显示编号。确定事件文本是否换行以适合页面(或仪表板面板)。表格表格您可以从任何搜索中选取表格可视化,但多数最感兴趣的表格是由那些包含转换操作的搜索来生成,例如使用stats、chart、timechart、top或rare等报表命令的搜索。这里的示例表格是由一家虚拟的鲜花公司MyFlowerShop设计用于追踪其产品与竞争对手FlowersRUs的产品之间的价格差异。实际使用的搜索为:sourcetype=access_*|statsvalues(product_name)asproductbyprice,flowersrus_price|evaldifference=price-flowersrus_price|tableproduct,difference请注意,在此示例表格中,difference列的单元格以阴影显示。这是因为我们为此表格选择了热图的数据叠加数据叠加,这意味着高值会以红色阴影显示,低值会以蓝色阴影显示。在本例中,如果MyFlowerShop产品的价格比竞争对手高,则会以红色阴影显示;如果低于竞争对手的价格,则会以蓝色阴影显示。对于表格,您可以:设置要显示的表格行数。选择显示行号。添加数据叠加以提供其他视觉信息,例如热图或高/低值标记。如果您使用可视化编辑器来设置仪表板中的表格格式,还可以额外确定钻取钻取工作方式。您可以按行或按单元格启用钻取,或完全禁用表格的钻取。有关钻取功能的更多信息,请参阅本手册中的“了解基本表格和图表钻取操作”。表格中的迷你图表格中的迷你图5您可以安排您的表格显示迷你图可视化。迷你图可以增加报表和仪表板中表格的有效性和总体信息密度;它们可以显示数据中隐藏的模式,而这些模式可能很难以其他方式从表格结果中加以确定。要使用迷你图,您的基本搜索必须使用stats或chart报表命令。您通过添加这些命令的sparklines函数来指示Splunk将迷你图列添加到此表格。有关其工作方式的详细信息,请参阅《搜索手册》中的“为您的搜索结果添加迷你图”。以下的迷你图示例是依靠有关USGS地震数据的搜索(本示例中,CSV文件会显示给定7天期限中记录全球所有的2.5+级地震数据):source=eqs7day-M2.5.csv|statssparkline(avg(Magnitude),6h)asmagnitude_trend,count,avg(Magnitude)byRegion|sortcount该搜索显示上述期间发生地震次数最多的前10个地区。结果表格中的迷你图说明该周期间每个地震高发地区震级的变化趋势:本示例还演示如何在迷你图上沿其长度方向移动鼠标,以读取特定点的值。图表图表Splunk提供了多种图表可视化,例如柱形图、折线图、面积图、散点图和饼图。这些可视化需要转换搜索(使用报表命令的搜索),其搜索结果包含一个或多个系列系列。系列是指可以在图表上绘制的相关数据点序列。例如,在折线图上绘制的每一条线代表一个单独系列。您可以设计转换搜索来生成单个系列,也可以设置搜索来为多个系列提供数据。考虑能够通过转换搜索生成的表格可能对您有帮助。表格中第一列后的每一列代表不同的系列。“单系列”搜索将生成只包含两列的表格,而“多系列”搜索则会生成包含三列或更多列的表格。所有图表可视化都可以处理单系列搜索,不过您会发现条形图、柱形图、折线图和饼图可视化通常最适合此类搜索。事实上,饼图只显示单系列搜索的数据。另一方面,如果您的搜索生成多个系列,您可以对其使用条形图、柱形图、折线图、面积图或散点图可视化。有关不同图表可视化类型的数据结构要求的详细介绍,请参阅本手册中的“可视化的数据结构要求”主题。柱形图和条形图柱形图和条形图使用柱形图或条形图来比较您的数据中字段值的频率。在柱形图中,X轴值通常为字段值(或时间,如果您的搜索使用了timechart报表命令),Y轴可以是任何其他字段值、值的计数或字段值的统计计算结果。条形图与其完全相同,不同之处在于X轴和Y轴值刚好颠倒。(请参阅本手册中的“可视化的数据结构要求”主题以获得更多信息。)以下条形图显示该搜索的结果,在搜索中会使用内部Splunk指标。它查找在过去15分钟内每个处理器的CPU_seconds总和,然后按总和降序排列前10个

1 / 131
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功