在本节中,我们将了解Pivot & Dataset。什么是Pivot 以及如何创建 Pivot?枢轴如何发挥作用,与之相关的属性是什么?此外,我们将了解数据集、数据集类型、数据透视编辑器。
如果没有Splunk 搜索处理语言(SPLTM),Pivot 工具可以让我们报告特定数据集。首先,定义一个我们想要表达的数据集,然后使用拖放界面设计和创建表格、地图和其他可视化形式的数据透视表,以显示该数据的各个方面。
Splunk使用数据模型来定义我们正在处理的事件数据的广泛类别。然后它使用分层排列的数据模型数据集集合来进一步细分原始数据集并定义我们希望 Pivot 返回结果的字段。我们组织中的知识经理,设计数据模型及其数据集。努力工作是为了帮助我们快速专注于来自事件的特定数据子集。
例如,我们可能有一个数据模型来监控来自电子邮件服务器的信息,数据集代表已发送的电子邮件和已接收的电子邮件。如果我们希望我们发送的电子邮件专注于趋势,请选择数据模型Email Operation并选择数据集Emails Sent。
有两种方法可以移动到 Pivots 处的视图:
通过数据集页面
通过数据模型的列表页面,通过设置
下表描述了创建 Pivot 的步骤
| 从 | 该怎么办 |
|---|---|
| 数据集页面 | 1. 在 Splunk 应用程序中转到搜索和报告应用程序,打开数据集列表页面。 2. 确定我们要为其创建 Pivot 的数据模型数据集。 3. 在“操作”列中,选择“探索”,然后选择“使用 Pivot 进行可视化”。 4. 单击另存为...将我们的更改保存为报告或仪表板面板或我们想要的。 |
| 设置 > 数据模型 | 1. 选择设置 > 数据模型 2. 搜索数据模型,然后在操作列中,单击数据透视。 3. 单击一个数据集并创建 Pivot。 4. 单击另存为...将我们的更改保存为 |
Thevot 在较小的浏览器窗口中,Se 的导航栏,如果我们在较小的浏览器windowsarch & Reporting 应用程序中查看 Pivot,将被隐藏。单击右上角的菜单图标以使用导航栏。向下滑动导航栏。
选择数据集后,Splunk Web会将我们带到数据透视编辑器,在这里我们将能够使用可用字段创建数据透视。我们的 Pivot 可能采用表格或图表形状。
数据集的确切组成取决于我们选择的数据集类型,以及我们的数据模型管理员如何定义数据集。有四种类型的数据集:
事件的数据集代表一系列事件。根事件的数据集由限制指定。
交易数据集代表交易?以某种方式链接的事件组,例如与防火墙入侵事故相关的事件,或单个客户的在线酒店房间预订。
搜索数据库代表不一致的搜索结果。搜索数据集通常通过使用转换或流式命令以表格格式返回结果的搜索来描述,并存储这些搜索的结果。
我们可以将子数据集添加到任何数据集。它们反映了其父数据集采用的数据集子集。我们希望基于子数据集的数据透视,因为它反映了特定的数据?正是我们需要在其中进行特定研究的块。
约束是定义由数据集定义的数据集的简单搜索。它们用于描述由根事件数据集和所有子数据集服务的数据集。所有子数据集都从其父数据集继承限制,并具有新的限制。这个额外的限制确保它们每个都继承其父数据集的数据集子集。
例如,我们可能有一个称为“错误事件”的根事件数据集,其中约束只是一个错误。该数据集理论上将包含我们系统中涉及字符串“error”的所有事件;它会返回与“错误”搜索相同的事件。
大多数事件数据集具有更复杂但仍然不多的约束。例如,“Splunk 的内部服务器日志”中的示例数据模型包含一个名为“Search Load-Users”的子事件数据集。这包括监控运行同时搜索的用户数量的事件。从此数据集继承的约束归结为以下搜索:
index=_internal source=*metrics_log*
此搜索从内部数据库度量日志事件返回。然后,子数据集有这个额外的限制:
group=search_concurrency user=*
此命令进一步将数据集表示的事件集缩小到来自内部数据库的度量日志事件。这些具有伴随的组字段值和任何值用户字段。
事件数据集的定义通常定义出现在其事件数据中的字段。字段连接到指定的数据集。有些字段直接映射到数据集的事件数据;其他是测量字段或借助查找和正则表达式应用于数据收集的事件。
每个孩子继承属于其父数据集的字段。
此子数据集可以包含不属于父数据集描述的附加字段。
在 Pivot 中,一旦我们选择了一个数据模型,我们就可以来到Pivot Editor并在我们想要作为数据透视基础的数据模型中选择数据集。
例如,当我们选择数据集后首先进入数据透视编辑器时,我们将处于数据透视编辑器的数据透视表模式。最初,数据透视表将显示一行,显示数据集所有时间的累积结果计数。
这个初始的结果计数代表什么取决于我们选择了什么样的数据集。
| 数据集类型 | 初始结果计数是否代表? |
| 事件数据集(或子数据集) | 由数据集的约束选择的总时间累积事件数。 |
| 交易数据集 | 数据集在整个时间内识别的事务总数。 |
| 搜索数据集 | 基本搜索在总体时间内返回的表行总数(如果搜索不是转换或流式搜索,则反映整个时间返回的事件总数)。 |
例如,如果我们转到Splunk 的 Internal Server Logs的数据模型并单击Search Load-Users的数据集,我们将看到一个数据透视表,其中显示了Search Load-Users数据集中的结果总数。
现在我们准备开始从这些数据构建数据透视表或数据透视图。
为了描述数据透视表,数据透视编辑器使用数据透视元素。有四种基本类型的枢轴元素:过滤器、分隔行、拆分列和列值。当我们第一次打开特定数据集的数据透视编辑器时,只指定了两个元素:
默认情况下,过滤器元素必须设置为All-time。
列值元素(设置为Count_of_<dataset_name>字段)
如上一段所述,这为我们提供了数据集在整个期间返回的测试总数。
要定义我们的数据透视表,我们可以从每个数据透视元素类别中添加多个元素。在决定我们的表格将提供哪些细节时,添加、描述和删除枢轴元素很简单。
下表对数据透视元素的描述解释了这些元素如何在图表和其他可视化中使用。如果我们想在将数据透视表转换为数据透视板之前构建数据透视表,此信息会很有帮助。
本节讨论使用枢轴元素的一些基础知识 ? 如何在数据透视表模式下围绕数据透视编辑器添加、修改和传输它们。
选择符号 +。这将打开元素的对话框,我们在其中选择一个字段,然后定义组件如何使用它。有关对话框功能的信息,请参阅下面的“定义枢轴元素”。
单击带有“铅笔”图标的项目。这将打开有关元素的对话框。有关对话框功能的信息,请参阅下面的“定义枢轴元素”。
用于重新排序枢轴元素类别中的枢轴元素。
拖放元素以在其枢轴对象组中对其重新排序。例如,如果在 Split Rows 枢轴元素类别中,我们有page_category和department元素,但想要重新排序它们,以便部门位于 page_category之前,如果我们愿意,我们可以简单地拖放它们以使它们成为正确的顺序。
用于在枢轴元素类别之间传输枢轴元素。
拖动和下降。我们是否将 page_category 添加为 Column Value 的一个元素,却发现它作为一个拆分元素效果最好?只需将其拖放到拆分列。
我们可以使用以下任何一种方式来删除枢轴元素:
我们可以打开带有项目的对话框,然后按 Delete 按钮。
我们可以拖放项目直到它变成红色。
