As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Splunk
Configuração
Configuração da fonte de dados
Ao configurar a fonte de dados, certifique-se de que o campo URL utilizehttps e aponte para a porta Splunk configurada. O ponto padrão da API Splunk é 8089, não 8000 (essa é a porta padrão da interface web). Ative a autenticação básica e especifique o nome de usuário e a senha do Splunk.
Modo de acesso do navegador (direto) e CORS
O Amazon Managed Grafana não oferece suporte ao acesso direto do navegador à fonte de dados Splunk.
Opções avançadas
Tabelas de transmissão
Ative o modo de transmissão se quiser obter os resultados da pesquisa assim que estiverem disponíveis. Este é um recurso experimental, não o habilite até que você realmente precise dele.
Resultado da enquete
Execute a pesquisa e, em seguida, verifique periodicamente o resultado. Nos bastidores, essa opção executa a chamada desearch/jobs API comexec_mode definido comonormal. Nesse caso, a solicitação de API retorna o SID do trabalho e, em seguida, o Grafana verifica o status do trabalho de tempos em tempos, para obter o resultado do trabalho. Essa opção pode ser útil para consultas lentas. Por padrão, essa opção está desativada e o Grafana defineexec_modeoneshot o que permite retornar o resultado da pesquisa na mesma chamada de API. Veja mais sobre o endpointsearch/jobs da API nos documentos do Splunk
Intervalo de pesquisa
Essa opção permite ajustar a frequência com que o Amazon Managed Grafana pesquisará o Splunk para obter resultados de pesquisa. Hora da próxima votação, escolhendo aleatoriamente a partir do intervalo [mínimo, máximo). Se você fizer muitas pesquisas pesadas, faz sentido aumentar esses valores. Dicas: aumente o mínimo se a execução dos trabalhos de pesquisa demorar muito e o máximo se você executar muitas pesquisas parallel (muitas métricas do splunk no painel do Grafana). O padrão é o intervalo de [500, 3000) milissegundos.
Cancelamento automático
Se especificado, o trabalho será cancelado automaticamente após tantos segundos de inatividade (0 significa nunca cancelar automaticamente). O padrão é 30.
Períodos de status
O maior número de intervalos de status a serem gerados. 0 indica que não deve gerar informações de cronograma. O padrão é 300.
Modo de pesquisa de campos
Quando você usa o editor de consulta visual, a fonte de dados tenta obter uma lista dos campos disponíveis para o tipo de fonte selecionado.
-
rápido - use o primeiro resultado disponível da pré-visualização
-
cheio - aguarde o término do trabalho e obtenha o resultado completo.
Horário mais antigo padrão
Algumas pesquisas não podem usar o intervalo de tempo do painel (como consultas de variáveis de modelo). Essa opção ajuda a impedir a busca permanente, o que pode tornar o Splunk lento. A sintaxe é um número inteiro e uma unidade de tempo[+|-]<time_integer><time_unit>. Por exemplo, -1w. A unidade de tempos, m, h, d, w, mon, q, y.
Modo de pesquisa de variáveis
Modo de pesquisa para consultas de variáveis de modelo. Possíveis valores:
-
rápido - Descoberta de campo desativada para pesquisas de eventos. Não há dados de eventos ou de campo para pesquisas de estatísticas.
-
smart - A descoberta de campo está ativada para pesquisas de eventos. Não há dados de eventos ou de campo para pesquisas de estatísticas.
-
verbose - Todos os dados de eventos e campos.
Uso
Editor de consultas
Modos do editor
O editor de consultas suporta dois modos: bruto e visual. Para alternar entre esses modos, escolha o ícone de hambúrguer no lado direito do editor e selecione Alternar modo de editor.
Tabelas
Usetimechart o comando para dados de séries temporais, como mostrado no exemplo de código a seguir.
index=os sourcetype=cpu | timechart span=1m avg(pctSystem) as system, avg(pctUser) as user, avg(pctIowait) as iowait index=os sourcetype=ps | timechart span=1m limit=5 useother=false avg(cpu_load_percent) by process_name
As consultas oferecem suporte a variáveis de modelo, conforme mostrado no exemplo a seguir.
sourcetype=cpu | timechart span=1m avg($cpu)
Lembre-se de que o Grafana é um aplicativo orientado a séries temporais e sua pesquisa deve retornar dados de séries temporais (data e hora e valor) ou valor único. Você pode ler sobre o comando timechart
Métricas do Splunk emstats
O Splunk 7.x fornecemstats comandos para analisar métricas. Para que os gráficos funcionem corretamentemstats, eles devem ser combinados comtimeseries o comando eprestats=t a opção deve ser definida.
Deprecated syntax: | mstats prestats=t avg(_value) AS Value WHERE index="collectd" metric_name="disk.disk_ops.read" OR metric_name="disk.disk_ops.write" by metric_name span=1m | timechart avg(_value) span=1m by metric_name Actual: | mstats prestats=t avg(disk.disk_ops.read) avg(disk.disk_ops.write) WHERE index="collectd" by metric_name span=1m | timechart avg(disk.disk_ops.read) avg(disk.disk_ops.write) span=1m
Leia mais sobre omstats comando no Splunk Search Reference
Formatar como
Há dois modos de formato de resultado suportados: série temporal (padrão) e tabela. Modo de tabela adequado para uso com o painel Tabela quando você deseja exibir dados agregados. Isso funciona com eventos brutos (retorna todos os campos selecionados) e função destats pesquisa, que retorna dados semelhantes a tabelas. Exemplos:
index="os" sourcetype="vmstat" | fields host, memUsedMB index="os" sourcetype="ps" | stats avg(PercentProcessorTime) as "CPU time", latest(process_name) as "Process", avg(UsedBytes) as "Memory" by PID
O resultado é semelhante à guia Estatísticas na interface do usuário do Splunk.
Leia mais sobre o uso destats funções no Splunk Search Reference
Tabelas visuais
Esse modo fornece a criação step-by-step de pesquisas. Observe que esse modo cria uma pesquisatimechart splunk. Basta selecionar índice, tipo de fonte e métricas e definir a divisão por campos, se desejar.
Métrica
Você pode adicionar várias métricas à pesquisa escolhendo o botão de adição no lado direito da linha métrica. O editor de métricas contém uma lista de agregações usadas com frequência, mas você pode especificar aqui qualquer outra função. Basta escolher o segmento agg (avgpor padrão) e digitar o que você precisa. Selecione o campo interessado na lista suspensa (ou insira-o) e defina um alias, se quiser.
Dividido por e onde
Se você definir Dividir por campo e usar o modo de série temporal, o editor Where estará disponível. Escolha mais e selecione operador, agregação e valor, por exemplo, Onde a média está no top 10. Observe que esta cláusula Where faz parte de Split by. Veja mais em timechart docs
Opções
Para alterar as opções padrão do gráfico de horas, escolha Opções na última linha.
Veja mais sobre essas opções nos documentos do gráfico de tempo
Pesquisa Splunk renderizada
Escolha a letra de destino à esquerda para recolher o editor e mostrar a pesquisa splunk renderizada.
Anotações
Use anotações se quiser mostrar alertas ou eventos do Splunk no gráfico. A anotação pode ser um alerta Splunk predefinido ou uma pesquisa regular no splunk.
Alerta Splunk
Especifique um nome de alerta ou mantenha o campo em branco para receber todos os alertas disparados. As variáveis de modelo são compatíveis.
Pesquisa no Splunk
Use a pesquisa splunk para obter os eventos necessários, conforme mostrado no exemplo a seguir.
index=os sourcetype=iostat | where total_ops > 400 index=os sourcetype=iostat | where total_ops > $io_threshold
As variáveis de modelo são compatíveis.
A opção Campo de evento como texto é adequada se você quiser usar o valor do campo como texto da anotação. O exemplo a seguir mostra o texto da mensagem de erro dos logs.
Event field as text: _raw Regex: WirelessRadioManagerd\[\d*\]: (.*)
O Regex permite extrair uma parte da mensagem.
Variáveis de modelo
O recurso de variáveis de modelo suporta consultas Splunk que retornam uma lista de valores, por exemplo, comstats o comando.
index=os sourcetype="iostat" | stats values(Device)
Essa consulta retorna uma lista de valores deDevice campo daiostat fonte. Em seguida, você pode usar esses nomes de dispositivos para consultas ou anotações de séries temporais.
Existem dois tipos possíveis de consultas variáveis que podem ser usadas no Grafana. A primeira é uma consulta simples (conforme apresentada anteriormente), que retorna uma lista de valores. O segundo tipo é uma consulta que pode criar uma variável chave/valor. A consulta deve retornar duas colunas com o nome_text_value e. O valor da_text coluna deve ser exclusivo (se não for exclusivo, o primeiro valor será usado). As opções na lista suspensa terão um texto e um valor para que você possa ter um nome amigável como texto e um ID como valor.
Por exemplo, essa pesquisa retorna uma tabela com colunasName (nome do contêiner Docker) eId (ID do contêiner).
source=docker_inspect | stats count latest(Name) as Name by Id | table Name, Id
Para usar o nome do contêiner como um valor visível para a variável e id como seu valor real, a consulta deve ser modificada, como no exemplo a seguir.
source=docker_inspect | stats count latest(Name) as Name by Id | table Name, Id | rename Name as "_text", Id as "_value"
Variáveis de vários valores
É possível usar variáveis de vários valores em consultas. Uma pesquisa interpolada dependerá do contexto de uso da variável. Existem vários desses contextos que o plugin suporta. Suponha que haja uma variável$container com valores selecionadosfoo ebar:
-
Filtro básico para
searchcomandosource=docker_stats $container => source=docker_stats (foo OR bar) -
Filtro de valor de campo
source=docker_stats container_name=$container => source=docker_stats (container_name=foo OR container_name=bar) -
Filtro de valor de campo com o
INoperador e ain()funçãosource=docker_stats container_name IN ($container) => source=docker_stats container_name IN (foo, bar) source=docker_stats | where container_name in($container) => source=docker_stats | where container_name in(foo, bar)
Variáveis e cotações de vários valores
Se a variável estiver entre aspas (duplas ou simples), seus valores também serão citados, como no exemplo a seguir.
source=docker_stats container_name="$container" => source=docker_stats (container_name="foo" OR container_name="bar") source=docker_stats container_name='$container' => source=docker_stats (container_name='foo' OR container_name='bar')
