Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Connect ke sumber data Splunk

Konfigurasi

Konfigurasi sumber data

Saat mengonfigurasi Sumber Data, pastikan bahwa bidang URL menggunakan https dan menunjuk ke port Splunk yang Anda konfigurasi. Titik API Splunk default adalah 8089, bukan 8000 (ini adalah port UI web default). Aktifkan Basic Auth dan tentukan nama pengguna dan kata sandi Splunk.

Mode akses browser (langsung) dan CORS

Grafana yang Dikelola Amazon tidak mendukung akses langsung browser untuk sumber data Splunk.

Opsi lanjutan

Mode Streaming

Aktifkan mode streaming jika Anda ingin mendapatkan hasil pencarian saat tersedia. Ini adalah fitur eksperimental, jangan aktifkan sampai Anda benar-benar membutuhkannya.

Hasil Polling

Jalankan pencarian dan kemudian periksa hasilnya secara berkala. Di bawah tenda opsi ini menjalankan panggilan search/jobs API dengan exec_mode disetel kenormal. Dalam hal ini permintaan API mengembalikan pekerjaan SID, dan kemudian Grafana memeriksa status pekerjaan dari waktu ke waktu, untuk mendapatkan hasil pekerjaan. Opsi ini dapat membantu untuk kueri yang lambat. Secara default opsi ini dinonaktifkan dan Grafana disetel oneshot yang exec_mode memungkinkan pengembalian hasil pencarian dalam panggilan API yang sama. Lihat selengkapnya tentang titik akhir search/jobs API di dokumen Splunk.

Cari interval polling

Opsi ini memungkinkan untuk menyesuaikan seberapa sering Grafana yang Dikelola Amazon akan melakukan polling splunk untuk hasil pencarian. Waktu untuk jajak pendapat berikutnya memilih secara acak dari interval [min, max). Jika Anda menjalankan banyak pencarian berat, masuk akal untuk meningkatkan nilai-nilai ini. Tips: tingkatkan Min jika eksekusi pekerjaan pencarian membutuhkan waktu lama, dan Max jika Anda menjalankan banyak pencarian paralel (banyak metrik splunk di dasbor Grafana). Defaultnya adalah interval milidetik [500, 3000).

Pembatalan otomatis

Jika ditentukan, pekerjaan secara otomatis akan dibatalkan setelah beberapa detik tidak aktif ini (0 berarti tidak pernah membatalkan otomatis). Defaultnya adalah 30.

Ember status

Bucket status terbanyak untuk dihasilkan. 0 menunjukkan untuk tidak menghasilkan informasi garis waktu. Defaultnya adalah 300.

Mode pencarian bidang

Saat Anda menggunakan editor kueri visual, sumber data mencoba mendapatkan daftar bidang yang tersedia untuk jenis sumber yang dipilih.

Default waktu paling awal

Beberapa pencarian tidak dapat menggunakan rentang waktu dasbor (seperti kueri variabel template). Opsi ini membantu mencegah pencarian sepanjang waktu, yang dapat memperlambat Splunk. Sintaks adalah integer dan satuan waktu. [+|-]<time_integer><time_unit> Sebagai contoh, -1w. Satuan waktu bisas, m, h, d, w, mon, q, y.

Mode pencarian variabel

Mode pencarian untuk kueri variabel template. Kemungkinan nilai:

Penggunaan

Editor kueri

Mode editor

Editor kueri mendukung dua mode: mentah dan visual. Untuk beralih di antara mode ini pilih ikon hamburger di sisi kanan editor dan pilih Toggle Editor Mode.

Modus mentah

Gunakan timechart perintah untuk data deret waktu, seperti yang ditunjukkan pada contoh kode berikut.

index=os sourcetype=cpu | timechart span=1m avg(pctSystem) as system, avg(pctUser) as user, avg(pctIowait) as iowait
index=os sourcetype=ps | timechart span=1m limit=5 useother=false avg(cpu_load_percent) by process_name

Kueri mendukung variabel template, seperti yang ditunjukkan pada contoh berikut.

sourcetype=cpu | timechart span=1m avg($cpu)

Ingatlah bahwa Grafana adalah aplikasi berorientasi deret waktu dan pencarian Anda harus mengembalikan data deret waktu (stempel waktu dan nilai) atau nilai tunggal. Anda dapat membaca tentang perintah timechart dan menemukan lebih banyak contoh pencarian di Referensi Pencarian Splunk resmi

Metrik Splunk dan mstats

Splunk 7.x menyediakan mstats perintah untuk menganalisis metrik. Agar grafik berfungsi dengan baikmstats, itu harus dikombinasikan dengan timeseries perintah dan prestats=t opsi harus diatur.

Deprecated syntax:
| mstats prestats=t avg(_value) AS Value WHERE index="collectd" metric_name="disk.disk_ops.read" OR metric_name="disk.disk_ops.write" by metric_name span=1m
| timechart avg(_value) span=1m by metric_name

Actual:
| mstats prestats=t avg(disk.disk_ops.read) avg(disk.disk_ops.write) WHERE index="collectd" by metric_name span=1m
| timechart avg(disk.disk_ops.read) avg(disk.disk_ops.write) span=1m

Baca lebih lanjut tentang mstats perintah di Referensi Pencarian Splunk.

Format sebagai

Ada dua mode format hasil yang didukung - Deret waktu (default) dan Tabel. Mode tabel cocok untuk digunakan dengan panel Tabel saat Anda ingin menampilkan data agregat. Itu bekerja dengan peristiwa mentah (mengembalikan semua bidang yang dipilih) dan fungsi stats pencarian, yang mengembalikan data seperti tabel. Contoh:

index="os" sourcetype="vmstat" | fields host, memUsedMB
index="os" sourcetype="ps" | stats avg(PercentProcessorTime) as "CPU time", latest(process_name) as "Process", avg(UsedBytes) as "Memory" by PID

Hasilnya mirip dengan tab Statistik di Splunk UI.

Baca lebih lanjut tentang penggunaan stats fungsi di Referensi Pencarian Splunk.

Mode visual

Mode ini menyediakan pembuatan step-by-step pencarian. Perhatikan bahwa mode ini menciptakan pencarian timechart splunk. Cukup pilih indeks, jenis sumber, dan metrik, dan atur pemisahan menurut bidang jika Anda mau.

Metrik

Anda dapat menambahkan beberapa metrik untuk dicari dengan memilih tombol plus di sisi kanan baris metrik. Editor metrik berisi daftar agregasi yang sering digunakan, tetapi Anda dapat menentukan di sini fungsi lainnya. Cukup pilih segmen agg (secara avg default) dan ketik apa yang Anda butuhkan. Pilih bidang tertarik dari daftar dropdown (atau masukkan), dan atur alias jika Anda mau.

Dibagi dan Dimana

Jika Anda mengatur Split by field dan menggunakan mode Time series, Where editor akan tersedia. Pilih plus dan pilih operator, agregasi dan nilai, misalnya Dimana rata-rata di 10 besar. Perhatikan, klausa Where ini adalah bagian dari Split by. Lihat selengkapnya di dokumen timechart.

Opsi

Untuk mengubah opsi timechart default, pilih Opsi di baris terakhir.

Lihat selengkapnya tentang opsi ini di dokumen timechart.

Pencarian splunk yang dirender

Pilih huruf target di sebelah kiri untuk menciutkan editor dan menampilkan pencarian splunk yang diberikan.

Anotasi

Gunakan anotasi jika Anda ingin menampilkan peringatan atau peristiwa Splunk pada grafik. Anotasi dapat berupa peringatan Splunk yang telah ditentukan sebelumnya atau pencarian splunk biasa.

Peringatan splunk

Tentukan nama peringatan, atau kosongkan bidang untuk mendapatkan semua peringatan yang diaktifkan. Variabel template didukung.

Pencarian splunk

Gunakan pencarian splunk untuk mendapatkan acara yang dibutuhkan, seperti yang ditunjukkan pada contoh berikut.

index=os sourcetype=iostat | where total_ops > 400
index=os sourcetype=iostat | where total_ops > $io_threshold

Variabel template didukung.

Opsi bidang Peristiwa sebagai teks cocok jika Anda ingin menggunakan nilai bidang sebagai teks anotasi. Contoh berikut menunjukkan teks pesan kesalahan dari log.

Event field as text: _raw
Regex: WirelessRadioManagerd\[\d*\]: (.*)

Regex memungkinkan untuk mengekstrak bagian dari pesan.

Variabel template

Fitur variabel template mendukung kueri Splunk yang mengembalikan daftar nilai, misalnya dengan stats perintah.

index=os sourcetype="iostat" | stats values(Device)

Query ini mengembalikan daftar nilai Device bidang dari iostat sumber. Kemudian Anda dapat menggunakan nama perangkat ini untuk kueri atau anotasi deret waktu.

Ada dua kemungkinan jenis kueri variabel yang dapat digunakan di Grafana. Yang pertama adalah query sederhana (seperti yang disajikan sebelumnya), yang mengembalikan daftar nilai. Tipe kedua adalah query yang dapat membuat variabel kunci/nilai. Query harus mengembalikan dua kolom yang diberi nama _text dan_value. Nilai _text kolom harus unik (jika tidak unik maka nilai pertama digunakan). Opsi dalam daftar dropdown akan memiliki teks dan nilai sehingga Anda dapat memiliki nama ramah sebagai teks dan ID sebagai nilainya.

Misalnya, pencarian ini mengembalikan tabel dengan kolom Name (nama wadah Docker) dan Id (id kontainer).

source=docker_inspect | stats count latest(Name) as Name by Id | table Name, Id

Untuk menggunakan nama kontainer sebagai nilai yang terlihat untuk variabel dan id sebagai nilai sebenarnya, kueri harus dimodifikasi, seperti pada contoh berikut.

source=docker_inspect | stats count latest(Name) as Name by Id | table Name, Id | rename Name as "_text", Id as "_value"

Variabel multi-nilai

Dimungkinkan untuk menggunakan variabel multi-nilai dalam kueri. Pencarian yang diinterpolasi akan tergantung pada konteks penggunaan variabel. Ada beberapa konteks yang didukung plugin. Asumsikan ada variabel $container dengan nilai yang dipilih foo danbar:

Variabel multi-nilai dan kutipan

Jika variabel dibungkus dalam tanda kutip (baik ganda atau tunggal), nilainya juga akan dikutip, seperti pada contoh berikut.

source=docker_stats container_name="$container"
=>
source=docker_stats (container_name="foo" OR container_name="bar")

source=docker_stats container_name='$container'
=>
source=docker_stats (container_name='foo' OR container_name='bar')