Splunk 创建叠加图

在本节中，我们将学习如何在 Splunk Web 中创建叠加图。我们还将学习如何构建叠加图、格式化 X 轴标签、格式化 Y 轴标签、将保存的图表保存为报告以及从火花线图创建报告。

构建叠加图，并探索可视化选项

在本示例中，我们创建了一个图表，该图表将两个数据系列绘制成柱状线，覆盖三个数据系列。叠加图将显示另一种图表操作，例如“添加到购物车”和“购买”，以及转化率，例如“浏览到购买”。

要计算用户操作，我们将使用 stats 命令。对于这些操作，eval 命令用于计算转化率。例如，查看某个产品的人有多少人将其添加到购物车。

让我们开始运行一个搜索，并将结果显示为图表。

1. 开始新的搜索。
2. 将时间范围更改为“全部时间”。
3. 然后，在搜索栏中运行以下搜索命令。
   sourcetype=access_* status=200 | stats count AS views count(eval(action="addtocart")) AS addtocart count(eval(action="purchase")) AS purchases by productName | eval viewsToPurchases=(purchases/views)*100 | eval cartToPurchases=(purchases/addtocart)*100 | table productName views addtocart purchases viewsToPurchases cartToPurchases | rename productName AS "Product Name", views AS "Views", addtocart as "Adds To Cart", purchases AS "Purchases"
   使用 eval 命令指定了两个新字段。这些字段包括转化率。

• viewsToPurchases 区域比较了查看产品的客户数量与购买产品的客户数量。计算结果返回一个数字。
• cartToPurchases 区域比较了将产品添加到购物车的客户数量与购买该产品的客户数量。计算结果返回一个数字。

4. 点击“可视化”选项卡。
   这是“构建简单图表”部分中的同一图表，外加两个额外的数据集：viewsToPurchases 和 cartToPurchases。
   

对于转化率，接下来的几个步骤将重新格式化地图图表，将两个数据系列添加到三个操作数据系列上。

格式化 X 轴标签

请记住，X 轴标签会被截断。由于产品太多，标签被截断，难以阅读。我们来解决这个问题。

1. 点击“格式”和“X 轴”。
2. 在 Splunk 中，对于“标签旋转”，我们必须选择列表或窗口中的第二个选项，即 -45 度。
   
3. 现在，关闭窗口中的“格式”对话框。
4. 现在，您可以看到图表 X 轴上标签的变化。
   

格式化 Y 轴值并为其添加标题

看看 Y 轴上的数字。这里的数字范围从 1000 到 3000，并且没有标题描述轴跟踪的内容。让我们使图表更易于阅读。

1. 点击“格式”和“Y 轴”。
   我们应该为 Y 轴添加一个标题，并分配不同的数字间隔。
2. 对于“标题”，选择“自定义”并键入“操作”。
3. 对于“间隔”，键入“500”。
4. 对于“最大值”，键入“2500”。
   
5. 关闭格式对话框。注意标记移动和 Y 轴值的变化。
   

格式化第二个 Y 轴

看看图例。它显示一些列代表“操作”（如浏览和购买），而另一些列代表“转化率”，如 viewsToPurchases。操作是不同字段中的值计数。转化率以百分比表示。这两种数据形式应分开显示。

1. 点击“格式”和“图表叠加”来解决问题。
   我们可以将一组值叠加在另一组值之上，以将操作与转化率分开。在本例中，我们将转化率叠加在操作之上，以线条的形式显示，而操作仍以柱状图显示。
2. 按下“叠加”框内。开始选择 viewsToPurchase。再次按下框内，然后选择 CartToPurchase。这描述了我们希望柱状图叠加的两个系列。
3. 对于“视图作为轴”，点击“开启”。
4. 对于“标题”，选择“自定义”。
   
5. 键入“转化率”。
6. 对于“比例”，点击“线性”。
7. 对于“间隔”，键入“20”。对于“最大值”，键入“100”。
8. 关闭格式对话框。请注意，转化率现在以线条形式显示在图表中。
   

图表右侧的轴称为第二个 Y 轴。沿着该轴，显示了折线系列标记和值。

将修改后的图表保存为报告。

我们对地图进行了重大修改，使其更易读。现在是时候将图表保存为纸质报告了。

1. 点击“另存为”，然后选择“报告”。
   
2. 在“另存为报告”对话框中，键入“按产品比较操作和转化率”。
3. 现在，键入“从这些操作以及购买率中查看产品被查看、添加到购物车和购买的次数。”
4. 点击“保存”。
5. 在确认对话框中，点击“查看”。
   

从自定义图表创建报告

在本例中，我们构建了一个报告，该报告绘制了在一段时间内已购买产品的图表。本示例创建并自定义了使用 timechart 命令和图表选项的图表。

此处示例使用了本教程“启用字段查找”部分中的 productName 字段。

如果我们未在 Splunk Web 中配置字段查找，则本节中的搜索将不会产生正确的结果。

1. 开始新的搜索。
2. 将时间范围更改为“全部时间”。
3. 运行以下搜索。
   sourcetype=access_* | timechart count(eval(action="purchase")) by productName usenull=f useother=f
   此搜索将使用 count() 函数计算具有 action = purchase 字段的事件数量。
   搜索还使用 usenull 和 other 参数，以确保具有 productName 值的事件（即 productName 字段值为空的事件）不会被包含在 timechart 函数中。
   统计信息页面上会显示下表。
   
4. 现在，点击“可视化”选项卡。
5. 现在，在图表选项中将图表类型更改为折线图。
6. 使用“格式”下拉菜单格式化 X 轴、Y 轴和图例，以生成以下图表。
   
   下表列出了对图表所做的更改。
   
7. 点击“另存为”，然后选择“报告”。
   1. 在“另存为报告”对话框中，对于“标题”，键入“产品随时间购买”。
   2. 对于“描述”，键入“每种产品的购买次数”。
   3. 对于“内容”，选择第一个选项，“折线图和统计表”。
   4. 对于“时间范围选择器”，保留默认设置“是”。
8. 单击 保存。
9. 在“确认”对话框窗口中，点击“显示”。
   

从火花线图创建报告

在本例中，我们构建了一个报告，该报告显示了一段时间内交易数量的趋势。本示例使用火花线图。火花线图是显示在搜索结果表中的内联图表，旨在显示与每行主键相关的时间趋势。

我们可以将火花线图添加到使用 stats 和 chart 命令的搜索结果表中。

本示例使用本教程“启用字段查找”部分中的 productName 字段。如果我们不配置查找区域，本节中的搜索将不会产生正确的结果。

1. 开始新的搜索。
2. 将时间范围设置为“全部时间”。
3. 运行以下搜索。
   sourcetype=access_* status=200 action=purchase| chart sparkline(count) AS "Purchases Trend" count AS Total BY categoryId | rename categoryId AS Category
   此搜索使用 chart 命令通过 action="purchase" 计算购买次数。搜索通过 categoryId 为每个产品指定了购买的发生地点。不同之处在于，购买计数现在是 sparkline() 函数的参数。
   使用 AS 关键字，当我们重命名列时，多于一个单词的名称必须放在引号内。在此搜索中，“Transactions Pattern”名称周围有引号，但“Group name”周围没有。
   
4. 现在，点击“另存为”选项，然后在窗口中选择“报告”。
5. 在这里，“另存为报告”对话框中，对于“标题”，键入“购买趋势”。
6. 对于“描述”，键入“购买次数及趋势”。
7. 单击 保存。
8. 在确认对话框中，点击“查看”。它应该看起来像这样。