Stellen Sie eine Connect zu einer Splunk-Datenquelle her - Amazon Managed Grafana
KonfigurationVerwendung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Stellen Sie eine Connect zu einer Splunk-Datenquelle her

Anmerkung

Diese Datenquelle ist nur für Grafana Enterprise bestimmt. Weitere Informationen finden Sie unter Zugriff auf Enterprise-Plug-ins verwalten.

In Workspaces, die Version 9 oder neuer unterstützen, müssen Sie für diese Datenquelle möglicherweise außerdem das entsprechende Plugin installieren. Weitere Informationen finden Sie unter Erweitere deinen Workspace mit Plugins.

Konfiguration

Konfiguration der Datenquelle

Stellen Sie bei der Konfiguration der Datenquelle sicher, dass das URL-Feld den von Ihnen konfigurierten Splunk-Port verwendet https und auf diesen verweist. Der Standard-Splunk-API-Punkt ist 8089, nicht 8000 (dies ist der Standard-Web-UI-Port). Aktivieren Sie Basic Auth und geben Sie den Splunk-Benutzernamen und das Passwort an.

Browser-Zugriffsmodus (direkter Zugriff) und CORS

Amazon Managed Grafana unterstützt keinen direkten Browserzugriff auf die Splunk-Datenquelle.

Erweiterte Optionen

Stream-Modus

Aktivieren Sie den Stream-Modus, wenn Sie Suchergebnisse erhalten möchten, sobald sie verfügbar sind. Dies ist eine experimentelle Funktion. Aktivieren Sie sie erst, wenn Sie sie wirklich benötigen.

Ergebnis der Umfrage

Führen Sie die Suche aus und überprüfen Sie dann regelmäßig das Ergebnis. Unter der Haube führt diese Option einen search/jobs API-Aufruf mit der exec_mode Einstellung auf ausnormal. In diesem Fall gibt die API-Anfrage die Job-SID zurück, und Grafana überprüft dann von Zeit zu Zeit den Jobstatus, um das Job-Ergebnis zu erhalten. Diese Option kann bei langsamen Abfragen hilfreich sein. Standardmäßig ist diese Option deaktiviert und Grafana legt festoneshot, was exec_mode die Rückgabe von Suchergebnissen im selben API-Aufruf ermöglicht. Weitere Informationen zum search/jobs API-Endpunkt finden Sie in den Splunk-Dokumenten.

Abfrageintervall für die Suche

Mit dieser Option können Sie einstellen, wie oft Amazon Managed Grafana Splunk nach Suchergebnissen abfragt. Zeit für die nächste Umfrage, wobei nach dem Zufallsprinzip aus dem Intervall [min, max.) ausgewählt wird. Wenn Sie viele umfangreiche Suchanfragen durchführen, ist es sinnvoll, diese Werte zu erhöhen. Tipps: Erhöhen Sie Min, wenn die Ausführung von Suchaufträgen lange dauert, und Max, wenn Sie viele parallel Suchen ausführen (viele Splunk-Metriken im Grafana-Dashboard). Die Standardeinstellung ist ein Intervall von [500, 3000) Millisekunden.

Automatische Stornierung

Falls angegeben, wird der Job nach so vielen Sekunden Inaktivität automatisch abgebrochen (0 bedeutet, dass kein automatischer Abbruch erfolgt). Die Standardeinstellung ist 30.

Status-Buckets

Die meisten zu generierenden Status-Buckets. 0 bedeutet, dass keine Zeitleisteninformationen generiert werden. Die Standardeinstellung ist 300.

Suchmodus für Felder

Wenn Sie den Visual Query Editor verwenden, versucht die Datenquelle, eine Liste der verfügbaren Felder für den ausgewählten Quelltyp abzurufen.

  • schnell — verwendet das erste verfügbare Ergebnis aus der Vorschau

  • voll — warten Sie, bis der Job abgeschlossen ist, und erhalten Sie das vollständige Ergebnis.

Der früheste Zeitpunkt ist voreingestellt

Bei einigen Suchanfragen kann der Zeitbereich des Dashboards nicht verwendet werden (z. B. Abfragen mit Vorlagenvariablen). Diese Option trägt dazu bei, die Suche für alle Zeiten zu verhindern, was Splunk verlangsamen kann. Die Syntax besteht aus einer Ganzzahl und einer Zeiteinheit. [+|-]<time_integer><time_unit> Zum Beispiel -1w. Die Zeiteinheit kann seins, m, h, d, w, mon, q, y.

Suchmodus für Variablen

Suchmodus für Abfragen von Vorlagenvariablen. Mögliche Werte:

  • schnell — Die Felderkennung für die Suche nach Ereignissen ist deaktiviert. Keine Ereignis- oder Felddaten für die Suche nach Statistiken.

  • smart — Felderkennung für die Suche nach Ereignissen aktiviert. Keine Ereignis- oder Felddaten für die Suche nach Statistiken.

  • ausführlich — Alle Ereignis- und Felddaten.

Verwendung

Abfrage-Editor

Editor-Modi

Der Abfrage-Editor unterstützt zwei Modi: roh und visuell. Um zwischen diesen Modi zu wechseln, wählen Sie das Hamburger-Symbol auf der rechten Seite des Editors und dann die Option Editor-Modus ein-/ausschalten.

Raw-Modus

Verwenden Sie den timechart Befehl für Zeitreihendaten, wie im folgenden Codebeispiel gezeigt. 


index=os sourcetype=cpu | timechart span=1m avg(pctSystem) as system, avg(pctUser) as user, avg(pctIowait) as iowait
index=os sourcetype=ps | timechart span=1m limit=5 useother=false avg(cpu_load_percent) by process_name

Abfragen unterstützen Vorlagenvariablen, wie im folgenden Beispiel gezeigt. 

sourcetype=cpu | timechart span=1m avg($cpu)

Denken Sie daran, dass Grafana eine zeitreihenorientierte Anwendung ist und Ihre Suche Zeitreihendaten (Zeitstempel und Wert) oder Einzelwerte zurückgeben sollte. Informationen zum Befehl timechart und weitere Suchbeispiele finden Sie in der offiziellen Splunk-Suchreferenz

Splunk-Metriken und mstats

Splunk 7.x bietet mstats Befehle zum Analysieren von Metriken. Damit Charts richtig funktionierenmstats, sollte es mit einem timeseries Befehl kombiniert werden und die prestats=t Option muss gesetzt werden. 

Deprecated syntax:
| mstats prestats=t avg(_value) AS Value WHERE index="collectd" metric_name="disk.disk_ops.read" OR metric_name="disk.disk_ops.write" by metric_name span=1m
| timechart avg(_value) span=1m by metric_name

Actual:
| mstats prestats=t avg(disk.disk_ops.read) avg(disk.disk_ops.write) WHERE index="collectd" by metric_name span=1m
| timechart avg(disk.disk_ops.read) avg(disk.disk_ops.write) span=1m

Weitere Informationen zu mstats Befehlen finden Sie in Splunk Search Reference.

Formatieren als

Es gibt zwei unterstützte Ergebnisformatmodi: Zeitreihe (Standard) und Tabelle. Der Tabellenmodus eignet sich für die Verwendung mit dem Tabellenfenster, wenn Sie aggregierte Daten anzeigen möchten. Das funktioniert mit Rohereignissen (gibt alle ausgewählten Felder zurück) und mit der stats Suchfunktion, die tabellenähnliche Daten zurückgibt. Beispiele: 

index="os" sourcetype="vmstat" | fields host, memUsedMB
index="os" sourcetype="ps" | stats avg(PercentProcessorTime) as "CPU time", latest(process_name) as "Process", avg(UsedBytes) as "Memory" by PID

Das Ergebnis ähnelt dem Tab „Statistik“ in der Splunk-Benutzeroberfläche.

Lesen Sie mehr über die Verwendung von stats Funktionen in Splunk Search Reference.

Visueller Modus

Dieser Modus ermöglicht das Erstellen von step-by-step Suchen. Beachten Sie, dass in diesem Modus eine timechart Splunk-Suche erstellt wird. Wählen Sie einfach Index, Quelltyp und Metriken aus und legen Sie bei Bedarf die Aufteilung nach Feldern fest.

Metrik

Sie können mehrere Metriken zur Suche hinzufügen, indem Sie die Plus-Schaltfläche auf der rechten Seite der Metrikzeile auswählen. Der Metrik-Editor enthält eine Liste häufig verwendeter Aggregationen, aber Sie können hier jede andere Funktion angeben. Wählen Sie einfach ein Agg-Segment (avgstandardmäßig) und geben Sie ein, was Sie benötigen. Wählen Sie das gewünschte Feld aus der Drop-down-Liste aus (oder geben Sie es ein) und legen Sie einen Alias fest, wenn Sie möchten.

Aufteilen nach und wo

Wenn Sie „Nach Feld teilen“ wählen und den Modus „Zeitreihen“ verwenden, ist der Editor „Wo“ verfügbar. Wählen Sie Plus und dann Operator, Aggregation und Wert aus, zum Beispiel Where avg in den Top 10. Beachten Sie, dass diese Where-Klausel Teil von Split by ist. Weitere Informationen finden Sie unter Timechart Docs.

Optionen

Um die Standard-Timechart-Optionen zu ändern, wählen Sie in der letzten Zeile Optionen aus.

Weitere Informationen zu diesen Optionen finden Sie in den Timechart-Dokumenten.

Wählen Sie den Zielbuchstaben auf der linken Seite, um den Editor zu reduzieren und die gerenderte Splunk-Suche anzuzeigen.

Anmerkungen

Verwenden Sie Anmerkungen, wenn Sie Splunk-Benachrichtigungen oder Ereignisse im Diagramm anzeigen möchten. Bei den Anmerkungen kann es sich entweder um eine vordefinierte Splunk-Warnung oder um eine reguläre Splunk-Suche handeln.

Splunk-Warnung

Geben Sie einen Namen für die Warnung an, oder lassen Sie das Feld leer, um alle ausgelösten Alarme zu erhalten. Vorlagenvariablen werden unterstützt.

Verwenden Sie die Splunk-Suche, um benötigte Ereignisse abzurufen, wie im folgenden Beispiel gezeigt. 


index=os sourcetype=iostat | where total_ops > 400
index=os sourcetype=iostat | where total_ops > $io_threshold

Vorlagenvariablen werden unterstützt.

Die Option Ereignisfeld als Text ist geeignet, wenn Sie den Feldwert als Annotationstext verwenden möchten. Das folgende Beispiel zeigt den Text der Fehlermeldung aus Protokollen. 


Event field as text: _raw
Regex: WirelessRadioManagerd\[\d*\]: (.*)

Regex ermöglicht es, einen Teil der Nachricht zu extrahieren.

Template-Variablen

Die Funktion für Vorlagenvariablen unterstützt Splunk-Abfragen, die eine Liste von Werten zurückgeben, beispielsweise mit einem stats Befehl. 


index=os sourcetype="iostat" | stats values(Device)

Diese Abfrage gibt eine Liste von Device Feldwerten aus iostat der Quelle zurück. Anschließend können Sie diese Gerätenamen für Zeitreihenabfragen oder Anmerkungen verwenden.

Es gibt zwei mögliche Arten von Variablenabfragen, die in Grafana verwendet werden können. Die erste ist eine einfache Abfrage (wie zuvor vorgestellt), die eine Liste von Werten zurückgibt. Der zweite Typ ist eine Abfrage, mit der eine Schlüssel/Wert-Variable erstellt werden kann. Die Abfrage sollte zwei Spalten mit dem Namen _text und zurückgeben. _value Der _text Spaltenwert sollte eindeutig sein (wenn er nicht eindeutig ist, wird der erste Wert verwendet). Die Optionen in der Dropdownliste enthalten einen Text und einen Wert, sodass Sie einen benutzerfreundlichen Namen als Text und eine ID als Wert verwenden können.

Diese Suche gibt beispielsweise eine Tabelle mit den Spalten Name (Docker-Containername) und Id (Container-ID) zurück. 


source=docker_inspect | stats count latest(Name) as Name by Id | table Name, Id

Um den Container-Namen als sichtbaren Wert für die Variable und die ID als echten Wert zu verwenden, sollte die Abfrage wie im folgenden Beispiel geändert werden. 


source=docker_inspect | stats count latest(Name) as Name by Id | table Name, Id | rename Name as "_text", Id as "_value"

Variablen mit mehreren Werten

Es ist möglich, Variablen mit mehreren Werten in Abfragen zu verwenden. Eine interpolierte Suche hängt vom Verwendungskontext der Variablen ab. Es gibt eine Reihe dieser Kontexte, die das Plugin unterstützt. Angenommen, es gibt eine Variable $container mit ausgewählten Werten foo undbar:

  • Einfacher Filter für search Befehle 

    
source=docker_stats $container
=>
source=docker_stats (foo OR bar)

  • Feldwertfilter 

    
source=docker_stats container_name=$container
=>
source=docker_stats (container_name=foo OR container_name=bar)

  • Feldwertfilter mit dem Operator und der Funktion IN in() 

    
source=docker_stats container_name IN ($container)
=>
source=docker_stats container_name IN (foo, bar)

source=docker_stats | where container_name in($container)
=>
source=docker_stats | where container_name in(foo, bar)

Variablen und Anführungszeichen mit mehreren Werten

Wenn eine Variable in Anführungszeichen eingeschlossen ist (sowohl doppelte als auch einfache), werden ihre Werte ebenfalls in Anführungszeichen gesetzt, wie im folgenden Beispiel. 


source=docker_stats container_name="$container"
=>
source=docker_stats (container_name="foo" OR container_name="bar")

source=docker_stats container_name='$container'
=>
source=docker_stats (container_name='foo' OR container_name='bar')