Splunk

nota

Essa fonte de dados é somente para Grafana Enterprise. Para ter mais informações, consulte Gerencie o acesso aos plug-ins corporativos.

Além disso, em espaços de trabalho compatíveis com a versão 9 ou mais recente, essa fonte de dados pode exigir a instalação do plug-in apropriado. Para ter mais informações, consulte Plugins Grafana.

Configuração

Configuração da fonte de dados

Ao configurar a fonte de dados, certifique-se de que o campo URL utilize https e aponte para a porta Splunk configurada. O ponto padrão da API Splunk é 8089, não 8000 (essa é a porta de interface de usuário da web padrão). Ative a autenticação básica e especifique o nome de usuário e a senha do Splunk.

Modo de acesso (direto) do navegador e CORS

O Amazon Managed Grafana não oferece suporte ao acesso direto do navegador à fonte de dados do Splunk.

Opções avançadas

Modo de transmissão

Ative o modo de transmissão se quiser obter os resultados da pesquisa assim que estiverem disponíveis. Esse é um recurso experimental, não o ative até que você realmente precise dele.

Resultado da enquete

Execute a pesquisa e, em seguida, verifique periodicamente o resultado. Nos bastidores, essa opção executa uma chamada de search/jobs API com exec_mode set tonormal. Nesse caso, a solicitação de API retorna o SID do trabalho e, em seguida, o Grafana verifica o status do trabalho periodicamente para obter o resultado do trabalho. Essa opção pode ser útil para consultas lentas. Por padrão, essa opção está desativada e o Grafana define exec_mode o oneshot que permite retornar o resultado da pesquisa na mesma chamada de API. Veja mais sobre o endpoint search/jobs da API nos documentos do Splunk.

Intervalo de pesquisa de pesquisa

Essa opção permite ajustar a frequência com que o Amazon Managed Grafana pesquisará o Splunk para obter resultados de pesquisa. Hora da próxima pesquisa, escolhendo aleatoriamente o intervalo [min, max). Se você fizer muitas pesquisas pesadas, faz sentido aumentar esses valores. Dicas: aumente Min se a execução de trabalhos de pesquisa demorar muito e Max se você executar muitas pesquisas paralelas (muitas métricas do Splunk no painel da Grafana). O padrão é o intervalo de [500, 3000) milissegundos.

Cancelamento automático

Se especificado, o trabalho é cancelado automaticamente após tantos segundos de inatividade (0 significa nunca cancelar automaticamente). O padrão é de 30.

Caixas de status

O maior número de compartimentos de status a serem gerados. 0 indica a não geração de informações do cronograma. O padrão é 300.

Modo de pesquisa de campos

Quando você usa o editor de consulta visual, a fonte de dados tenta obter uma lista dos campos disponíveis para o tipo de fonte selecionado.

rápido - use o primeiro resultado disponível da pré-visualização
cheio - aguarde a conclusão do trabalho e obtenha o resultado completo.

Hora mais antiga padrão

Algumas pesquisas não podem usar o intervalo de tempo do painel (como consultas de variáveis de modelo). Essa opção ajuda a evitar a busca permanente, o que pode atrasar o Splunk. A sintaxe é um número inteiro e uma unidade de tempo. [+|-]<time_integer><time_unit> Por exemplo, -1w. A unidade de tempo pode sers, m, h, d, w, mon, q, y.

Modo de pesquisa de variáveis

Modo de pesquisa para consultas de variáveis de modelo. Possíveis valores:

rápido - Descoberta de campo desativada para pesquisas de eventos. Nenhum evento ou dados de campo para pesquisas de estatísticas.
smart - Descoberta de campo ativada para pesquisas de eventos. Nenhum evento ou dados de campo para pesquisas de estatísticas.
verbose - Todos os dados de eventos e de campo.

Uso

Editor de consultas

Modos de edição

O editor de consultas suporta dois modos: bruto e visual. Para alternar entre esses modos, escolha o ícone de hambúrguer no lado direito do editor e selecione Alternar modo de editor.

Modo bruto

Use o timechart comando para dados de séries temporais, conforme mostrado no exemplo de código a seguir.



index=os sourcetype=cpu | timechart span=1m avg(pctSystem) as system, avg(pctUser) as user, avg(pctIowait) as iowait
index=os sourcetype=ps | timechart span=1m limit=5 useother=false avg(cpu_load_percent) by process_name

As consultas oferecem suporte a variáveis de modelo, conforme mostrado no exemplo a seguir.


sourcetype=cpu | timechart span=1m avg($cpu)

Lembre-se de que o Grafana é um aplicativo orientado a séries temporais e sua pesquisa deve retornar dados de séries temporais (registro de data e hora e valor) ou valor único. Você pode ler sobre o comando timechart e encontrar mais exemplos de pesquisa na Referência de Pesquisa oficial do Splunk

Métricas do Splunk e `mstats`

O Splunk 7.x fornece mstats comandos para analisar métricas. Para que os gráficos funcionem corretamentemstats, eles devem ser combinados com o timeseries comando e prestats=t a opção deve ser definida.


Deprecated syntax:
| mstats prestats=t avg(_value) AS Value WHERE index="collectd" metric_name="disk.disk_ops.read" OR metric_name="disk.disk_ops.write" by metric_name span=1m
| timechart avg(_value) span=1m by metric_name

Actual:
| mstats prestats=t avg(disk.disk_ops.read) avg(disk.disk_ops.write) WHERE index="collectd" by metric_name span=1m
| timechart avg(disk.disk_ops.read) avg(disk.disk_ops.write) span=1m

Leia mais sobre o mstats comando no Splunk Search Reference.

Formatar como

Há dois modos de formato de resultado suportados: Série temporal (padrão) e Tabela. Modo de tabela adequado para uso com o painel Tabela quando você deseja exibir dados agregados. Isso funciona com eventos brutos (retorna todos os campos selecionados) e função de stats pesquisa, que retorna dados semelhantes a tabelas. Exemplos:


index="os" sourcetype="vmstat" | fields host, memUsedMB
index="os" sourcetype="ps" | stats avg(PercentProcessorTime) as "CPU time", latest(process_name) as "Process", avg(UsedBytes) as "Memory" by PID

O resultado é semelhante à guia Estatísticas na interface do usuário do Splunk.

Leia mais sobre o uso de stats funções no Splunk Search Reference.

Modo visual

Esse modo fornece a criação step-by-step de pesquisas. Observe que esse modo cria a busca por timechart splunk. Basta selecionar índice, tipo de fonte e métricas e definir a divisão por campos, se quiser.

Métrica

Você pode adicionar várias métricas à pesquisa escolhendo o botão de adição no lado direito da linha métrica. O editor de métricas contém uma lista de agregações usadas com frequência, mas você pode especificar aqui qualquer outra função. Basta escolher o segmento agg (avgpor padrão) e digitar o que você precisa. Selecione o campo interessado na lista suspensa (ou insira-o) e defina o alias se quiser.

Dividir por e onde

Se você definir Dividir por campo e usar o modo Série temporal, o editor Where estará disponível. Escolha mais e selecione operador, agregação e valor, por exemplo, Onde a média está no top 10. Observe que essa cláusula Where faz parte de Split by. Veja mais em timechart docs.

Opções

Para alterar as opções padrão do gráfico de horário, escolha Opções na última linha.

Veja mais sobre essas opções nos documentos do timechart.

Pesquisa Splunk renderizada

Escolha a letra-alvo à esquerda para fechar o editor e mostrar a pesquisa por splunk renderizada.

Anotações

Use anotações se quiser mostrar alertas ou eventos do Splunk no gráfico. A anotação pode ser um alerta predefinido do Splunk ou uma pesquisa regular do Splunk.

Alerta Splunk

Especifique um nome de alerta ou mantenha o campo em branco para receber todos os alertas disparados. As variáveis de modelo são suportadas.

Pesquisa Splunk

Use a pesquisa splunk para obter os eventos necessários, conforme mostrado no exemplo a seguir.



index=os sourcetype=iostat | where total_ops > 400
index=os sourcetype=iostat | where total_ops > $io_threshold

As variáveis de modelo são suportadas.

A opção Campo de evento como texto é adequada se você quiser usar o valor do campo como texto de anotação. O exemplo a seguir mostra o texto da mensagem de erro dos registros.



Event field as text: _raw
Regex: WirelessRadioManagerd\[\d*\]: (.*)

Regex permite extrair uma parte da mensagem.

Variáveis do modelo

O recurso de variáveis de modelo suporta consultas Splunk que retornam uma lista de valores, por exemplo, com stats o comando.



index=os sourcetype="iostat" | stats values(Device)

Essa consulta retorna uma lista de valores de Device campo da iostat fonte. Em seguida, você pode usar esses nomes de dispositivos para consultas ou anotações de séries temporais.

Existem dois tipos possíveis de consultas variáveis que podem ser usadas no Grafana. A primeira é uma consulta simples (conforme apresentada anteriormente), que retorna uma lista de valores. O segundo tipo é uma consulta que pode criar uma variável chave/valor. A consulta deve retornar duas colunas com o nome _text _value e. O valor da _text coluna deve ser exclusivo (se não for exclusivo, o primeiro valor será usado). As opções na lista suspensa terão um texto e um valor para que você possa ter um nome amigável como texto e uma ID como valor.

Por exemplo, essa pesquisa retorna uma tabela com colunas Name (nome do contêiner Docker) e Id (ID do contêiner).



source=docker_inspect | stats count latest(Name) as Name by Id | table Name, Id

Para usar o nome do contêiner como um valor visível para a variável e o id como seu valor real, a consulta deve ser modificada, como no exemplo a seguir.



source=docker_inspect | stats count latest(Name) as Name by Id | table Name, Id | rename Name as "_text", Id as "_value"

Variáveis de vários valores

É possível usar variáveis de vários valores em consultas. Uma pesquisa interpolada dependerá do contexto de uso variável. Existem vários desses contextos que o plug-in suporta. Suponha que haja uma variável $container com valores selecionados foo ebar:

Filtro básico para search comando



source=docker_stats $container
=>
source=docker_stats (foo OR bar)

Filtro de valor de campo



source=docker_stats container_name=$container
=>
source=docker_stats (container_name=foo OR container_name=bar)

Filtro de valor de campo com o IN operador e a função in()



source=docker_stats container_name IN ($container)
=>
source=docker_stats container_name IN (foo, bar)

source=docker_stats | where container_name in($container)
=>
source=docker_stats | where container_name in(foo, bar)

Variáveis e cotações de vários valores

Se a variável estiver entre aspas (duplas ou simples), seus valores também serão citados, como no exemplo a seguir.



source=docker_stats container_name="$container"
=>
source=docker_stats (container_name="foo" OR container_name="bar")

source=docker_stats container_name='$container'
=>
source=docker_stats (container_name='foo' OR container_name='bar')

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Snowflake

Monitoramento da infraestrutura Splunk (anteriormente SignalFX)