Splunk - Rapports

Les rapports Splunk sont des résultats enregistrés à partir d'une action de recherche qui peuvent afficher des statistiques et des visualisations d'événements. Les rapports peuvent être exécutés à tout moment et ils récupèrent de nouveaux résultats à chaque fois qu'ils sont exécutés. Les rapports peuvent être partagés avec d'autres utilisateurs et peuvent être ajoutés aux tableaux de bord. Des rapports plus sophistiqués peuvent permettre à une fonction d'exploration de voir les événements sous-jacents qui créent les statistiques finales.

Dans ce chapitre, nous verrons comment créer et modifier un exemple de rapport.

Création de rapports

La création de rapports est un processus simple où nous utilisons Save As option pour enregistrer le résultat d'une opération de recherche en choisissant le représentantSave Asoption orts. Le diagramme ci-dessous montre l'option.

En cliquant sur l'option Rapports dans la liste déroulante, nous obtenons la fenêtre suivante qui demande des entrées supplémentaires comme le nom du rapport, la description et le choix du sélecteur de temps. Si nous choisissons le sélecteur de temps, cela permet d'ajuster la plage de temps lorsque nous exécutons le rapport. Les diagrammes ci-dessous montrent comment nous remplissons les détails requis, puis cliquez sur Enregistrer.

Configuration du rapport

Après avoir cliqué sur Enregistrer pour créer le rapport à l'étape ci-dessus, nous obtenons l'écran suivant demandant de configurer le rapport comme indiqué ci-dessous. Ici, nous pouvons configurer les autorisations, planifier le rapport, etc. Nous avons également la possibilité de passer à l'étape suivante et d'ajouter le rapport à un tableau de bord.

Si nous cliquons sur Viewà l'étape ci-dessus, nous pouvons voir le rapport. Nous obtenons également des options de configuration après la création du rapport.

Modification de l'option de recherche de rapport

Bien que nous puissions modifier les autorisations, le calendrier, etc., nous devons parfois modifier la chaîne de recherche d'origine. Cela peut être fait en choisissant leOpen in Searchoption comme indiqué dans l'image ci-dessus. Cela ouvrira à nouveau l'option de recherche d'origine que nous pouvons modifier pour une nouvelle recherche. Reportez-vous à l'image ci-dessous -