在 Splunk 中创建基本图表。

17 Mar 2025 | 4 分钟阅读

在本节中，我们将学习如何在 Splunk 中创建基本图表。我们还将学习可视化图表、在图表上创建叠加层、格式化 X 轴和 Y 轴以及如何将图表另存为报告。

在本示例中，我们通过计算客户在在线商店网站上采取的操作的信息来比较用户操作的计数。

前提条件

此示例需要启用字段查找字段 productName。在继续本节之前，我们必须完成所有这些步骤。除非启用字段查找，否则搜索将不会显示正确的结果。

开始新的搜索。
将时间设置为所有时间
运行以下搜索。
sourcetype=access_* status=200 | chart count AS views count(eval(action="addtocart")) AS addtocart count(eval(action="purchase")) AS purchases by productName | rename productName AS "Product Name", views AS "Views", addtocart AS "Adds to Cart", purchases AS "Purchases"
此查询使用 Chart 命令来计算 action = purchase 和 action = addtocart 事件的数量。然后，搜索使用 rename 命令来重命名结果中出现的字段。
图表命令是一个转换命令。搜索结果出现在统计信息页面上。
单击可视化 搜索结果将显示在饼图中。
将显示更改为列

对于此示例，我们创建一个图表，将两个数据系列作为列线叠加在三个数据系列上。叠加图表将以另一种 图表类型 操作显示，例如 添加到购物车 和购买在一种图表类型上，以及转化率，例如 浏览到购买。

为了计算用户活动，我们将使用 stats 命令。对于这些操作，使用 eval 命令来计算转化率。例如，有多少人看过某个产品并将该产品添加到他们的购物车中。

让我们首先运行一个查询并将结果显示为图表。

开始新的搜索。
将时间范围更改为所有时间。
运行以下搜索。
sourcetype=access_* status=200 | stats count AS views count(eval(action="addtocart")) AS addtocart count(eval(action="purchase")) AS purchases by productName | eval viewsToPurchases=(purchases/views)*100 | eval cartToPurchases=(purchases/addtocart)*100 | table productName views addtocart purchases viewsToPurchases cartToPurchases | rename productName AS "Product Name", views AS "Views", addtocart as "Adds To Cart", purchases AS "Purchases"
使用 eval 命令指定了两个新字段。这些字段包括转换级别。