Splunk - 数据透视表和数据集

Splunk 可以提取不同类型的数据源并构建类似于关系表的表。这些被称为表数据集或简称为表。它们提供了分析和过滤数据和查找等的简便方法。这些表数据集还用于创建我们在本章中学习的数据透视分析。

创建数据集

我们使用名为 Splunk Datasets Add-on 的 Splunk 插件来创建和管理数据集。它可以从 Splunk 网站下载，https://splunkbase.splunk.com/app/3245/#/details 必须按照此链接中详细信息选项卡中给出的说明进行安装。安装成功后，我们会看到一个名为创建新表数据集的按钮。

选择数据集

接下来，我们点击创建新表数据集按钮，它会让我们从以下三个选项中进行选择。

• 索引和源类型 − 从已通过添加数据应用添加到 Splunk 的现有索引或源类型中进行选择。

• 现有数据集 − 您可能之前已经创建了一些数据集，您想通过从中创建新数据集来修改它们。

• 搜索 −编写搜索查询，结果可用于创建新的数据集。

在我们的示例中，我们选择一个索引作为数据集的来源，如下图所示 −

选择数据集字段

在上面的屏幕中单击"确定"后，我们会看到一个选项，可以选择我们最终想要进入表数据集的各种字段。默认情况下会选择 _time 字段，并且无法删除此字段。我们选择字段：bytes、categoryID、clientIP 和 files。

单击上述屏幕中的"完成"后，我们将获得包含所有选定字段的最终数据集表，如下所示。这里的数据集变得类似于关系表。我们使用右上角的另存为选项保存数据集。

创建数据透视表

我们使用上述数据集创建数据透视表报告。数据透视表报告反映了一列值相对于另一列值的聚合。换句话说，将一列的值制成行，将另一列的值制成行。

选择数据集操作

为此，我们首先使用数据集选项卡选择数据集，然后从该数据集的"操作"列中选择选项使用数据透视表进行可视化。

选择数据透视表字段

接下来，我们选择适当的字段来创建数据透视表。我们在拆分列选项中选择类别 ID，因为该字段的值应在报告中显示为不同的列。然后我们在拆分行选项中选择文件，因为该字段的值应显示在行中。结果显示文件字段中每个值的每个 categoryid 值的数量。

接下来，我们可以将数据透视表保存为现有仪表板中的报告或面板，以供将来参考。