Splunk - Pivot et ensembles de données

Splunk peut ingérer différents types de sources de données et créer des tables similaires aux tables relationnelles. Ceux-ci sont appeléstable dataset ou juste tables. Ils fournissent des moyens simples d'analyser et de filtrer les données et les recherches, etc. Ces ensembles de données de table sont également utilisés pour créer une analyse pivot que nous apprenons dans ce chapitre.

Créer un jeu de données

Nous utilisons un module complémentaire Splunk nommé Splunk Datasets Add-on pour créer et gérer les ensembles de données. Il peut être téléchargé sur le site Web de Splunk,https://splunkbase.splunk.com/app/3245/#/details.Il doit être installé en suivant les instructions données dans l'onglet Détails de ce lien. En cas d'installation réussie, nous voyons un bouton nomméCreate New Table Dataset.

Sélection d'un ensemble de données

Ensuite, nous cliquons sur le Create New Table Dataset et cela nous donne la possibilité de choisir parmi les trois options ci-dessous.

  • Indexes and Source Types - Choisissez parmi un index existant ou un type de source déjà ajouté à Splunk via l'application Ajouter des données.

  • Existing Datasets - Vous avez peut-être déjà créé un ensemble de données que vous souhaitez modifier en créant un nouvel ensemble de données à partir de celui-ci.

  • Search - Écrivez une requête de recherche et le résultat peut être utilisé pour créer un nouvel ensemble de données.

Dans notre exemple, nous choisissons un index comme source de l'ensemble de données, comme indiqué dans l'image ci-dessous -

Choix des champs de jeu de données

En cliquant sur OK dans l'écran ci-dessus, on nous présente une option pour choisir les différents champs que nous voulons enfin entrer dans le jeu de données de table. Le champ _time est sélectionné par défaut et ce champ ne peut pas être supprimé. Nous choisissons les champs:bytes, categoryID, clientIP et files.

En cliquant sur Terminé dans l'écran ci-dessus, nous obtenons la table finale de l'ensemble de données avec tous les champs sélectionnés, comme indiqué ci-dessous. Ici, l'ensemble de données est devenu similaire à une table relationnelle. Nous sauvegardons l'ensemble de données avecsave as option disponible dans le coin supérieur droit.

Créer un pivot

Nous utilisons l'ensemble de données ci-dessus pour créer un rapport pivot. Le rapport pivot reflète l'agrégation des valeurs d'une colonne par rapport aux valeurs d'une autre colonne. En d'autres termes, les valeurs d'une colonne sont transformées en lignes et les autres valeurs de colonnes sont transformées en lignes.

Choisissez l'action du jeu de données

Pour y parvenir, nous sélectionnons d'abord le jeu de données à l'aide de l'onglet du jeu de données, puis choisissons l'option Visualize with Pivot dans la colonne Actions pour cet ensemble de données.

Choisissez les champs de pivot

Ensuite, nous choisissons les champs appropriés pour créer le tableau croisé dynamique. Nous choisissons l'ID de catégorie dans lesplit columnscar il s'agit du champ dont les valeurs doivent apparaître sous forme de colonnes différentes dans le rapport. Ensuite, nous choisissons Fichier dans leSplit Rowscar il s'agit du champ dont les valeurs doivent être présentées en lignes. Le résultat montre le nombre de valeurs de chaque categoryid pour chaque valeur dans le champ de fichier.

Ensuite, nous pouvons enregistrer le tableau croisé dynamique en tant que rapport ou panneau dans un tableau de bord existant pour référence future.