搜索必须将事件数据转换为统计数据表以创建图表的可视化。这些统计表是图表和其他类型数据的可视化所必需的。在本节中,我们将解释如何使用转换命令从事件中提取数据。
它将提供有关转换命令的简要信息,并搜索有关转换命令及其在创建统计表和图表可视化中的作用的更多信息。
转换命令将搜索结果命令到数据表中。此类命令将每个事件的指定单元格值“转换”为数值,Splunk 软件可以将其用于统计目的。转换命令也需要将搜索结果数据转换为可视化所需的数据结构,例如柱形图、条形图、折线图、面积图和饼图。
如果用于测量列总计(而不是行总计),则转换命令包括 map、timecart、details、top、uncommon 和 addtotals。
我们的搜索必须将事件数据转换为统计数据表,以创建图表的可视化。图表和其他类型数据的可视化需要这些统计表。在这里,我们将学习如何使用转换命令从事件中提取数据。
本Splunk 教程解释了主要的转换命令类别,并提供了如何在搜索中使用它们的示例。
主要的转换命令是:
图表:构建可以显示您希望绘制的任何数据系列的图表。在图表的 x 轴上,您可以确定跟踪哪个字段。
时间表:用于创建有关“时间趋势”的报告,这意味着时间始终是 x 轴。
顶部:生成显示最常见字段值的图表。
罕见:创建显示最不常见字段值的图表。
stats:生成显示摘要统计信息的报告。
Chart、Timechart和Stats命令都旨在与统计函数一起使用。可用的统计函数列表是:
计数,不同的计数
均值、中位数、众数
最小值、最大值、范围、百分位数
标准差、方差
和
第一次出现,最后一次出现
某些统计功能仅适用于timechart命令。
我们可以使用实时搜索来实时测量大量传入数据流的指标,而无需使用摘要索引。但是,我们关于实时和连续数据流的报告会随着事件的到来而更新时间线,并且我们只能在预览模式下显示表格或地图。某些搜索命令也将更适用于实时使用。
此命令用于突出显示搜索结果集中的特定单词。它通过提供以搜索词作为参数的突出显示功能来使用。用逗号分隔它们提供了几个搜索词。
在下面的示例中,我们查看 term、safari和butter的结果集。
图表命令是一个用于转换的命令,它将以表格的形式返回用户请求的结果。然后我们可以使用结果将数据显示为区域、线、列等地图。在下面说明的示例中,我们正在为每种类型的文件创建一个水平条形图,并绘制它平均字节大小。
命令stats用于将搜索结果的数据集转换为不同的统计表示,这取决于我们将为该命令提供的参数或参数的类型。我们在下面的示例中使用了 count 函数 stats 命令。在此示例中,我们将计算一周中某天生成的文件数。搜索字符串的此结果将以表格形式显示,其中为每天创建行。
