Conectarse a una fuente de datos de Splunk - Amazon Managed Grafana
ConfiguraciónUso

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Conectarse a una fuente de datos de Splunk

nota

Esta fuente de datos es solo para Grafana Enterprise. Para obtener más información, consulte Gestione el acceso a los complementos empresariales.

Además, en los espacios de trabajo compatibles con la versión 9 o posterior, es posible que esta fuente de datos requiera la instalación del complemento adecuado. Para obtener más información, consulte Amplía tu espacio de trabajo con complementos.

Configuración

Configuración del origen de datos

Al configurar la fuente de datos, asegúrese de que el campo URL utilice https y apunte al puerto de Splunk configurado. El punto predeterminado de la API de Splunk es 8089, no 8000 (este es el puerto de interfaz de usuario web predeterminado). Habilite la autenticación básica y especifique el nombre de usuario y la contraseña de Splunk.

Modo de acceso (directo) del navegador y CORS

Amazon Managed Grafana no admite el acceso directo del navegador a la fuente de datos de Splunk.

Opciones avanzadas

Modo de transmisión

Active el modo de transmisión si desea obtener los resultados de la búsqueda a medida que estén disponibles. Esta es una función experimental, no la habilite hasta que realmente la necesite.

Resultado de la encuesta

Ejecute la búsqueda y, a continuación, compruebe periódicamente el resultado. En pocas palabras, esta opción ejecuta una llamada a la search/jobs API con el exec_mode valor establecido ennormal. En este caso, la solicitud de API devuelve el SID del trabajo y, a continuación, Grafana comprueba el estado del trabajo de vez en cuando para obtener el resultado del trabajo. Esta opción puede resultar útil para consultas lentas. De forma predeterminada, esta opción está deshabilitada y Grafana establece oneshot qué permite devolver el resultado de la búsqueda en la misma llamada exec_mode a la API. Obtenga más información sobre el punto final de search/jobs la API en los documentos de Splunk.

Busque el intervalo de sondeo

Esta opción permite ajustar la frecuencia con la que Amazon Managed Grafana sondea a Splunk para obtener resultados de búsqueda. La hora de la próxima encuesta se elige aleatoriamente entre un intervalo [mínimo, máximo]. Si realizas muchas búsquedas intensivas, tiene sentido aumentar estos valores. Consejos: aumenta el mínimo si la ejecución de los trabajos de búsqueda lleva mucho tiempo y el máximo si realizas muchas búsquedas paralelas (muchas métricas de splunk en el panel de control de Grafana). El valor predeterminado es un intervalo de [500, 3000] milisegundos.

Cancelación automática

Si se especifica, el trabajo se cancela automáticamente después de tantos segundos de inactividad (0 significa que nunca se cancela automáticamente). El valor predeterminado es 30.

Cubos de estado

El mayor número de depósitos de estado que se pueden generar. Un 0 indica que no se genera información de cronograma. El valor predeterminado es 300.

Modo de búsqueda de campos

Cuando utiliza el editor visual de consultas, la fuente de datos intenta obtener una lista de los campos disponibles para el tipo de fuente seleccionado.

  • rápido: utilice el primer resultado disponible de la vista previa

  • completo: espere a que finalice el trabajo y obtenga el resultado completo.

Hora más temprana predeterminada

Algunas búsquedas no pueden usar el intervalo de tiempo del panel de control (como las consultas de variables de plantilla). Esta opción ayuda a evitar la búsqueda permanente, lo que puede ralentizar Splunk. La sintaxis es un número entero y una unidad [+|-]<time_integer><time_unit> de tiempo. Por ejemplo, -1w. La unidad de tiempo puede sers, m, h, d, w, mon, q, y.

Modo de búsqueda de variables

Modo de búsqueda para consultas de variables de plantilla. Valores posibles:

  • rápido: la detección de campos está desactivada para las búsquedas de eventos. No hay datos de eventos o campos para las búsquedas de estadísticas.

  • inteligente: la detección de campos está activada para las búsquedas de eventos. No hay datos de eventos o campos para las búsquedas de estadísticas.

  • detallado: todos los datos de eventos y campos.

Uso

Editor de consultas

Modos de editor

El editor de consultas admite dos modos: crudo y visual. Para cambiar entre estos modos, elige el icono de una hamburguesa en la parte derecha del editor y selecciona Alternar el modo editor.

Modo RAW

Utilice timechart el comando para datos de series temporales, como se muestra en el siguiente ejemplo de código. 


index=os sourcetype=cpu | timechart span=1m avg(pctSystem) as system, avg(pctUser) as user, avg(pctIowait) as iowait
index=os sourcetype=ps | timechart span=1m limit=5 useother=false avg(cpu_load_percent) by process_name

Las consultas admiten variables de plantilla, como se muestra en el siguiente ejemplo. 

sourcetype=cpu | timechart span=1m avg($cpu)

Tenga en cuenta que Grafana es una aplicación orientada a series temporales y su búsqueda debe devolver datos de series temporales (marca de tiempo y valor) o un valor único. Puedes leer sobre el comando timechart y encontrar más ejemplos de búsqueda en la referencia de búsqueda oficial de Splunk

Splunk Metrics y mstats

Splunk 7.x proporciona un mstats comando para analizar las métricas. Para que los gráficos funcionen correctamentemstats, se debe combinar con un timeseries comando y se debe configurar prestats=t la opción. 

Deprecated syntax:
| mstats prestats=t avg(_value) AS Value WHERE index="collectd" metric_name="disk.disk_ops.read" OR metric_name="disk.disk_ops.write" by metric_name span=1m
| timechart avg(_value) span=1m by metric_name

Actual:
| mstats prestats=t avg(disk.disk_ops.read) avg(disk.disk_ops.write) WHERE index="collectd" by metric_name span=1m
| timechart avg(disk.disk_ops.read) avg(disk.disk_ops.write) span=1m

Obtenga más información sobre mstats el comando en la referencia de búsqueda de Splunk.

Formatear como

Se admiten dos modos de formato de resultados: serie temporal (predeterminado) y tabla. El modo de tabla es adecuado para utilizarlo con el panel de tablas cuando se desean mostrar datos agregados. Funciona con eventos sin procesar (devuelve todos los campos seleccionados) y con la función de stats búsqueda, que devuelve datos similares a los de una tabla. Ejemplos: 

index="os" sourcetype="vmstat" | fields host, memUsedMB
index="os" sourcetype="ps" | stats avg(PercentProcessorTime) as "CPU time", latest(process_name) as "Process", avg(UsedBytes) as "Memory" by PID

El resultado es similar a la pestaña Estadísticas de la interfaz de usuario de Splunk.

Obtenga más información sobre el uso de las stats funciones en la referencia de búsqueda de Splunk.

Modo visual

Este modo permite crear step-by-step búsquedas. Ten en cuenta que este modo crea una búsqueda por timechart splunk. Solo tiene que seleccionar el índice, el tipo de fuente y las métricas, y configurar la división por campos si lo desea.

Métrica

Puedes añadir varias métricas a la búsqueda pulsando el botón más situado en el lado derecho de la fila de métricas. El editor de métricas contiene una lista de las agregaciones más utilizadas, pero aquí puede especificar cualquier otra función. Solo tiene que elegir un segmento agg (de forma avg predeterminada) y escribir lo que necesite. Selecciona el campo que te interese en la lista desplegable (o introdúcelo) y establece un alias si lo deseas.

Dividir por y dónde

Si configura Dividir por campo y usa el modo de series temporales, estará disponible el editor Where. Elija el signo más y seleccione el operador, la agregación y el valor, por ejemplo, Dónde está el promedio entre los 10 primeros. Tenga en cuenta que esta cláusula Where forma parte de Split by. Ver más en timechart docs.

Opciones

Para cambiar las opciones predeterminadas del gráfico horario, selecciona Opciones en la última fila.

Obtén más información sobre estas opciones en los documentos del gráfico horario.

Elige la letra de destino de la izquierda para contraer el editor y mostrar la búsqueda renderizada en splunk.

Annotations

Usa anotaciones si quieres mostrar las alertas o eventos de Splunk en un gráfico. La anotación puede ser una alerta de Splunk predefinida o una búsqueda de Splunk normal.

Alerta de Splunk

Especifica un nombre de alerta o deja el campo en blanco para ver todas las alertas emitidas. Se admiten variables de plantilla.

Usa la búsqueda de splunk para obtener los eventos necesarios, como se muestra en el siguiente ejemplo. 


index=os sourcetype=iostat | where total_ops > 400
index=os sourcetype=iostat | where total_ops > $io_threshold

Se admiten variables de plantilla.

La opción Campo de evento como texto es adecuada si desea utilizar el valor del campo como texto de anotación. En el siguiente ejemplo, se muestra el texto de un mensaje de error de los registros. 


Event field as text: _raw
Regex: WirelessRadioManagerd\[\d*\]: (.*)

Regex permite extraer una parte del mensaje.

Variables de plantilla

La función de variables de plantilla admite las consultas de Splunk que devuelven una lista de valores, por ejemplo, con un stats comando. 


index=os sourcetype="iostat" | stats values(Device)

Esta consulta devuelve una lista de valores de Device campo de la iostat fuente. Luego, puede usar estos nombres de dispositivos para consultas o anotaciones de series temporales.

Hay dos tipos posibles de consultas de variables que se pueden utilizar en Grafana. La primera es una consulta simple (como se presentó anteriormente), que devuelve una lista de valores. El segundo tipo es una consulta que puede crear una variable clave/valor. La consulta debe devolver dos columnas _text denominadas y. _value El valor de la _text columna debe ser único (si no lo es, se utilizará el primer valor). Las opciones de la lista desplegable tendrán un texto y un valor para que puedas tener un nombre descriptivo como texto y un identificador como valor.

Por ejemplo, esta búsqueda devuelve una tabla con columnas Name (nombre del contenedor de Docker) e Id (identificador del contenedor). 


source=docker_inspect | stats count latest(Name) as Name by Id | table Name, Id

Para usar el nombre del contenedor como un valor visible para la variable y el id como su valor real, se debe modificar la consulta, como en el siguiente ejemplo. 


source=docker_inspect | stats count latest(Name) as Name by Id | table Name, Id | rename Name as "_text", Id as "_value"

Variables con varios valores

Es posible utilizar variables con varios valores en las consultas. Una búsqueda interpolada dependerá del contexto de uso de la variable. Hay varios de esos contextos compatibles con el complemento. Supongamos que hay una variable $container con valores seleccionados foo ybar:

  • Filtro básico para el search comando 

    
source=docker_stats $container
=>
source=docker_stats (foo OR bar)

  • Filtro de valores de campo 

    
source=docker_stats container_name=$container
=>
source=docker_stats (container_name=foo OR container_name=bar)

  • Filtro de valores de campo con el operador y la función IN in() 

    
source=docker_stats container_name IN ($container)
=>
source=docker_stats container_name IN (foo, bar)

source=docker_stats | where container_name in($container)
=>
source=docker_stats | where container_name in(foo, bar)

Variables y cotizaciones con varios valores

Si la variable está entre comillas (dobles o simples), sus valores también aparecerán entre comillas, como en el siguiente ejemplo. 


source=docker_stats container_name="$container"
=>
source=docker_stats (container_name="foo" OR container_name="bar")

source=docker_stats container_name='$container'
=>
source=docker_stats (container_name='foo' OR container_name='bar')