Splunk – tabla dinámica y conjuntos de datos
AREAtutorial » Big Data & Analitycs » Splunk – tabla dinámica y conjuntos de datos
Splunk puede aceptar varios tipos de fuentes de datos y crear tablas de tipo relacional. Ellos se llaman tabla de conjunto de datos o simplemente mesas… Proporcionan formas sencillas de analizar y filtrar datos, realizar búsquedas, etc. Estos conjuntos de datos tabulares también se utilizan para crear el análisis resumido que aprenderemos en este capítulo.
Estamos utilizando un complemento de Splunk llamado Complemento de conjuntos de datos de Splunk para crear y administrar conjuntos de datos. Se puede descargar del sitio web de Splunk. https://splunkbase.splunk.com/app/3245/#/details. Debe instalarse siguiendo las instrucciones en la pestaña de detalles de este enlace. Tras la instalación exitosa, vemos un botón con el nombre Crea una nueva tabla de conjunto de datos…
A continuación, haga clic en Crea una nueva tabla de conjunto de datos Un botón, y esto nos da la oportunidad de elegir una de las tres opciones siguientes.
Índices y tipos de fuentes – Seleccione entre un índice o tipo de fuente existente que ya se haya agregado a Splunk a través de la aplicación Agregar datos.
Conjuntos de datos existentes – Es posible que ya haya creado algún conjunto de datos anteriormente que desee modificar creando un nuevo conjunto de datos a partir de él.
Búsqueda – Escriba un término de búsqueda y el resultado se puede utilizar para crear un nuevo conjunto de datos.
En nuestro ejemplo, seleccionamos el índice como fuente del conjunto de datos como se muestra en la imagen a continuación:
Al hacer clic en Aceptar en la pantalla anterior, se nos da la opción de seleccionar los diversos campos que queremos que finalmente ingresen en el conjunto de datos de la tabla. El campo _time está seleccionado de forma predeterminada y no se puede eliminar. Seleccionar campos: bytes, categoryID, clientIP y archivos…
Cuando hacemos clic en Finalizar en la pantalla anterior, obtenemos la tabla del conjunto de datos final con todos los campos seleccionados como se muestra a continuación. Aquí, el conjunto de datos se convirtió en una tabla relacional. Guardamos el conjunto de datos con guardar como la opción está disponible en la esquina superior derecha.
Estamos utilizando el conjunto de datos anterior para generar un informe resumido. Un informe de resumen refleja la agregación de valores en una columna en relación con los valores en otra columna. En otras palabras, los valores de una columna se convierten en filas y los valores de la otra columna se convierten en filas.
Para hacer esto, primero seleccionamos el conjunto de datos en la pestaña del conjunto de datos y luego seleccionamos la opción Visualiza con Pivot de la columna Acciones para este conjunto de datos.
A continuación, seleccionamos los campos apropiados para crear la tabla dinámica. Seleccionar el ID de categoría en columnas divididas parámetro porque es un campo cuyos valores deben mostrarse en diferentes columnas del informe. Luego seleccionamos Archivo en Líneas divididas opción, ya que este es un campo cuyos valores se deben representar en cadenas. El resultado muestra el número de valores de cada categoría para cada valor en el campo del archivo.
Luego, podemos guardar la tabla dinámica como un informe o panel en un tablero existente para referencia futura.
🚫