在本节中,我们将了解如何在 Splunk 中生成报告。生成的报告可以进一步用于本地使用。我们还可以将其设置为自定义仪表板。在这里,我们期待更改其权限以及如何在 Splunk 中编辑保存后的报告。我们还将学习更改生成的报告的查看权限。
当我们创建希望再次运行或与他人共享的任务或支点时,我们可以将其保存为报告。这意味着我们可以从Splunk
平台的 Quest 和 Pivot 端生成报告。
生成报告后,我们可以:
在查看报告的页面上查看报告返回的结果。我们可以通过单击报告列表选项卡上的报告名称来访问报告的显示页面。
打开报表并对其进行编辑,以便返回不同的数据或其数据以不同的方式显示。根据创建方式,我们的报告会在 Pivot 或 Search 中打开。
此外,如果我们的权限允许我们这样做,我们可以:
更改报告权限以与其他 Splunk 用户共享。
安排报告,使其定期运行。计划报告可以在每次运行时采取行动,例如通过电子邮件将报告发送给一组利益相关者。
加速内置搜索的缓慢完成报告。
在外部网站上嵌入预定报告。
将仪表板报告添加到仪表板面板。注意:通过 Pivot 设计的报告权限必须适合用于创建它们的数据模型的权限。
保持报告名称相对较短。
当我们命名我们的文章时,除了默认命名之外,给我们的报告一个相当简短和特殊的名称。这种做法可以帮助我们避免不允许报告运行的错误。
每次我们运行查询时,搜索头都会根据以下组合生成特定的搜索 ID (SID):
报告所有者的用户名
运行报告的人的用户名
报告的应用上下文的名称
报告名称
报告的启动时间,以 Unix 纪元时间格式表示。
包括运行报告的搜索头的主机名和 GUID。
在 Base64 中,对用户名和设备名称进行加密,以确保目录名称中不包含唯一或有害字符。Base64 编码长度与原始字符串长度成正比。这不是从字符到字符的转换。
然后,搜索头在$SPLUNK_HOME/var/run/splunk/dispatch/下为报告创建一个调度目录,该目录使用搜索 ID 作为其名称。
Linux 文件系统最多只能接受 255 个字符。如果调度目录的完整文件路径超过 255 个字符,则无法创建调度目录。
保持我们的报告名称相对较短,以防止这种情况发生。如果我们具有管理员角色,或者我们的角色具有管理员级别的功能,我们可以采取其他措施来避免这种情况,例如保留主机名、用户名和应用程序名称以供短搜索头使用。
我们可以通过四种方式通过 Splunk Web 创建报告:
通过搜索,将搜索保存为报告。
从 Pivot 中,通过将数据透视表保存为报表。
通过选择设置 > 搜索、报告和警报并单击新建报告以添加新报告。
从仪表板,通过将内联搜索驱动的仪表板面板转换为报告。
在设计返回有用结果的搜索或透视时,我们可以将其保存为报告。报告保留了我们为原始任务设置的任何格式,包括显示地图可视化和事件列表的选项。
单击另存为,然后选择报告。要另存为报告,请搜索或旋转。报告保留了我们为原始任务设置的任何格式,包括显示地图可视化和事件列表的选项。
提供唯一的报告标题。支持的标题字符为 az、AZ、0-9。
提供摘要或说明。它是可选的。
将具有时间范围的选择器添加到报告中。时间范围选择器允许用户在特定时间段内重新运行报告,而无需在未经书面许可的情况下直接对其进行编辑。
如果我们不提供时间范围的选择器,则报告将始终在与原始搜索相同的时间范围内运行。要更改时间范围,具有报告编辑权限的用户必须在搜索中打开报告,更新其时间范围并保存该编辑。
对于计划报告,时间范围选择器选项不可用,该选项始终显示上次计划运行返回的结果。如果我们计划一个带有时间范围内选择器的报表,时间范围内的选择器就会消失。
单击保存将搜索保存为报告。
当我们将搜索保存为报告时,我们可以:
查看或运行报告并在报告查看页面上查看它返回的结果。
通过更改权限与他人共享我们的报告。
安排报告按计划运行。
加速报告,以便在再次运行时更快地完成。
将报告嵌入外部网站。只能嵌入预定报告。
继续编辑报告。
将报告添加到仪表板。
