Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Connect a una fonte di dati Splunk

Configurazione

Configurazione dell'origine dati

Quando configuri l'origine dati, assicurati che il campo URL utilizzi https e punti alla porta Splunk configurata. Il punto API Splunk predefinito è 8089, non 8000 (questa è la porta dell'interfaccia utente web predefinita). Abilita l'autenticazione di base e specifica nome utente e password Splunk.

Modalità di accesso (diretto) al browser e CORS

Amazon Managed Grafana non supporta l'accesso diretto tramite browser all'origine dati Splunk.

Opzioni avanzate

modalità Stream

Abilita la modalità streaming se desideri ottenere i risultati della ricerca non appena disponibili. Questa è una funzionalità sperimentale, non attivarla finché non ne avrai davvero bisogno.

Risultato del sondaggio

Esegui la ricerca e poi controlla periodicamente i risultati. In altre parole, questa opzione esegue una chiamata search/jobs API con exec_mode set tonormal. In questo caso la richiesta API restituisce il SID del lavoro, quindi Grafana controlla di tanto in tanto lo stato del lavoro, per ottenere il risultato del lavoro. Questa opzione può essere utile per le query lente. Per impostazione predefinita, questa opzione è disabilitata e Grafana è impostata exec_mode su questa opzione oneshot che consente di restituire i risultati della ricerca nella stessa chiamata API. Scopri di più sugli endpoint search/jobs API nei documenti di Splunk.

Intervallo di sondaggio di ricerca

Questa opzione consente di regolare la frequenza con cui Amazon Managed Grafana interroga Splunk per i risultati di ricerca. Tempo per il prossimo sondaggio, scelta casuale tra un intervallo [minimo, massimo). Se esegui molte ricerche complesse, ha senso aumentare questi valori. Suggerimenti: aumenta Min se l'esecuzione dei job di ricerca richiede molto tempo e Max se esegui molte ricerche parallele (molte metriche splunk sulla dashboard di Grafana). L'impostazione predefinita è un intervallo di [500, 3000) millisecondi.

Annullamento automatico

Se specificato, il lavoro viene annullato automaticamente dopo questo numero di secondi di inattività (0 significa che non si annulla mai automaticamente). L'impostazione predefinita è 30.

Bucket di stato

Il maggior numero di bucket di stato da generare. 0 indica di non generare informazioni sulla sequenza temporale. Il valore predefinito è 300.

Modalità di ricerca dei campi

Quando si utilizza l'editor di query visuale, l'origine dati tenta di ottenere l'elenco dei campi disponibili per il tipo di fonte selezionato.

Prima ora predefinita

Alcune ricerche non possono utilizzare l'intervallo di tempo della dashboard (ad esempio le query con variabili relative ai modelli). Questa opzione aiuta a impedire la ricerca continua, il che può rallentare Splunk. La sintassi è un numero intero e un'unità di tempo. [+|-]<time_integer><time_unit> Ad esempio -1w. L'unità di tempo può essere. s, m, h, d, w, mon, q, y

Modalità di ricerca delle variabili

Modalità di ricerca per le interrogazioni sulle variabili del modello. Valori possibili:

Utilizzo

Editor della query

Modalità di editor

L'editor di query supporta due modalità: raw e visual. Per passare da una modalità all'altra, scegli l'icona a forma di hamburger sul lato destro dell'editor e seleziona Attiva la modalità Editor.

Modalità Raw

Usa timechart il comando per i dati delle serie temporali, come mostrato nel seguente esempio di codice.

index=os sourcetype=cpu | timechart span=1m avg(pctSystem) as system, avg(pctUser) as user, avg(pctIowait) as iowait
index=os sourcetype=ps | timechart span=1m limit=5 useother=false avg(cpu_load_percent) by process_name

Le query supportano le variabili modello, come illustrato nell'esempio seguente.

sourcetype=cpu | timechart span=1m avg($cpu)

Tieni presente che Grafana è un'applicazione orientata alle serie temporali e la tua ricerca dovrebbe restituire dati di serie temporali (timestamp e valore) o un valore singolo. Puoi leggere informazioni sul comando timechart e trovare altri esempi di ricerca nella guida ufficiale di Splunk Search Reference

Splunk Metrics e mstats

Splunk 7.x fornisce mstats comandi per l'analisi delle metriche. Per far funzionare correttamente i graficimstats, è necessario combinarlo con il timeseries comando e prestats=t l'opzione deve essere impostata.

Deprecated syntax:
| mstats prestats=t avg(_value) AS Value WHERE index="collectd" metric_name="disk.disk_ops.read" OR metric_name="disk.disk_ops.write" by metric_name span=1m
| timechart avg(_value) span=1m by metric_name

Actual:
| mstats prestats=t avg(disk.disk_ops.read) avg(disk.disk_ops.write) WHERE index="collectd" by metric_name span=1m
| timechart avg(disk.disk_ops.read) avg(disk.disk_ops.write) span=1m

Scopri di più sul mstats comando in Splunk Search Reference.

Formatta come

Sono supportate due modalità di formattazione dei risultati: Serie temporali (impostazione predefinita) e Tabella. La modalità Tabella è adatta all'uso con il pannello Tabella quando si desidera visualizzare dati aggregati. Funziona con eventi non elaborati (restituisce tutti i campi selezionati) e con la funzione stats di ricerca, che restituisce dati simili a tabelle. Esempi:

index="os" sourcetype="vmstat" | fields host, memUsedMB
index="os" sourcetype="ps" | stats avg(PercentProcessorTime) as "CPU time", latest(process_name) as "Process", avg(UsedBytes) as "Memory" by PID

Il risultato è simile alla scheda Statistiche nell'interfaccia utente di Splunk.

Scopri di più sull'utilizzo delle stats funzioni in Splunk Search Reference.

Modalità visiva

Questa modalità consente la creazione step-by-step di ricerche. Nota che questa modalità crea una ricerca timechart splunk. Basta selezionare l'indice, il tipo di fonte e le metriche e impostare la suddivisione per campi, se lo desideri.

Parametro

Puoi aggiungere più metriche alla ricerca selezionando il pulsante più sul lato destro della riga della metrica. L'editor delle metriche contiene un elenco di aggregazioni utilizzate di frequente, ma puoi specificare qui qualsiasi altra funzione. Basta scegliere agg segment (di avg default) e digitare quello che ti serve. Seleziona il campo interessato dall'elenco a discesa (o inseriscilo) e imposta l'alias se lo desideri.

Dividi per e dove

Se imposti Dividi per campo e utilizzi la modalità Serie temporali, l'editor Where sarà disponibile. Scegli plus e seleziona operatore, aggregazione e valore, ad esempio Where avg in top 10. Nota, questa clausola Where fa parte di Split by. Scopri di più su timechart docs.

Opzioni

Per modificare le opzioni predefinite del diagramma temporale, scegli Opzioni nell'ultima riga.

Scopri di più su queste opzioni nei documenti del timechart.

Ricerca splunk renderizzata

Scegli la lettera di destinazione a sinistra per comprimere l'editor e mostrare la ricerca splunk renderizzata.

Annotazioni

Usa le annotazioni se vuoi mostrare avvisi o eventi Splunk sul grafico. L'annotazione può essere un avviso Splunk predefinito o una normale ricerca Splunk.

Avviso Splunk

Specificate il nome di un avviso o lasciate il campo vuoto per visualizzare tutti gli avvisi attivati. Le variabili di modello sono supportate.

Ricerca Splunk

Usa la ricerca splunk per ottenere gli eventi necessari, come mostrato nell'esempio seguente.

index=os sourcetype=iostat | where total_ops > 400
index=os sourcetype=iostat | where total_ops > $io_threshold

Le variabili di modello sono supportate.

L'opzione Campo evento come testo è adatta se si desidera utilizzare il valore del campo come testo di annotazione. L'esempio seguente mostra il testo dei messaggi di errore dai log.

Event field as text: _raw
Regex: WirelessRadioManagerd\[\d*\]: (.*)

Regex consente di estrarre una parte del messaggio.

Variabili del modello

La funzionalità delle variabili modello supporta le query Splunk che restituiscono un elenco di valori, ad esempio con stats un comando.

index=os sourcetype="iostat" | stats values(Device)

Questa query restituisce un elenco di valori di Device campo dal iostat codice sorgente. È quindi possibile utilizzare questi nomi di dispositivi per interrogazioni o annotazioni su serie temporali.

Esistono due tipi possibili di interrogazioni variabili che possono essere utilizzate in Grafana. La prima è una semplice interrogazione (come presentata in precedenza), che restituisce un elenco di valori. Il secondo tipo è una query che può creare una variabile chiave/valore. La query dovrebbe restituire due colonne _text denominate e. _value Il valore della _text colonna deve essere univoco (se non è univoco, viene utilizzato il primo valore). Le opzioni nell'elenco a discesa avranno un testo e un valore in modo da poter avere un nome descrittivo come testo e un ID come valore.

Ad esempio, questa ricerca restituisce una tabella con colonne Name (nome del contenitore Docker) e Id (id del contenitore).

source=docker_inspect | stats count latest(Name) as Name by Id | table Name, Id

Per utilizzare il nome del contenitore come valore visibile per la variabile e id come valore reale, è necessario modificare la query, come nell'esempio seguente.

source=docker_inspect | stats count latest(Name) as Name by Id | table Name, Id | rename Name as "_text", Id as "_value"

Variabili multivalore

È possibile utilizzare variabili multivalore nelle query. Una ricerca interpolata dipenderà dal contesto di utilizzo della variabile. Esistono diversi contesti supportati dal plug-in. Supponiamo che ci sia una variabile $container con valori selezionati foo ebar:

Variabili e virgolette multivalore

Se la variabile è racchiusa tra virgolette (sia doppie che singole), anche i suoi valori verranno citati, come nell'esempio seguente.

source=docker_stats container_name="$container"
=>
source=docker_stats (container_name="foo" OR container_name="bar")

source=docker_stats container_name='$container'
=>
source=docker_stats (container_name='foo' OR container_name='bar')