Splunk 透视表和数据集

在本节中，我们将学习Pivot 和数据集。什么是 Pivot 以及如何创建 Pivot？Pivot 函数如何工作，以及与之相关的属性是什么？此外，我们还将学习数据集、数据集类型、Pivot 编辑器。

在没有Splunk 搜索处理语言 (SPLTM) 的情况下，Pivot 工具允许我们报告特定数据集。首先，定义要报告的数据集，然后使用拖放界面以表格、地图和其他可视化形式设计和创建 Pivot，以显示该数据的不同方面。

Pivot 函数如何工作？

Splunk 使用数据模型来定义我们正在处理的事件数据的广泛类别。然后，它使用分层排列的数据模型数据集集合来进一步细分原始数据集，并定义我们希望 Pivot 返回结果的字段。我们组织中的知识管理员设计数据模型及其数据集。所做的努力是为了帮助我们快速集中于事件中的特定数据子集。

例如，我们可能有一个监视电子邮件服务器信息的模型，其中数据集代表已发送电子邮件和已接收电子邮件。如果我们希望已发送电子邮件集中于趋势，请选择数据模型电子邮件操作并选择数据集已发送电子邮件。

创建 Pivot

有两种方法可以进入 Pivot 视图

• 通过数据集页面
• 通过数据模型的列表页面，通过“设置”

下表描述了创建 Pivot 的步骤

在较小的浏览器窗口中查看 Pivot 时，如果我们在较小的浏览器窗口中查看 Pivot，则“搜索和报告”应用的导航栏将被隐藏。点击右上角的菜单图标以使用导航栏。滑动导航栏。

选择数据集后，Splunk Web 将带我们进入 Pivot 编辑器，在那里我们可以使用可用字段创建 Pivot。我们的 Pivot 可以采用表格或图表的形式。

关于数据集

数据集的确切组成由我们选择的数据集类型以及我们的数据模型管理员如何定义数据集决定。有四种类型的数据集

• 事件数据集代表一系列事件。根事件数据集由限制指定。
• 事务数据集代表事务？以某种方式链接的事件组，例如与防火墙入侵事件相关的事件，或单个客户在线预订酒店房间。
• 搜索数据集代表不一致的搜索结果。搜索数据集通常由使用转换命令或流式命令的搜索描述，以表格格式返回结果，并且这些搜索的结果被存储。
• 我们可以向任何数据集添加子数据集。它们反映了由其父数据集采纳的数据集子集。我们将希望基于子数据集创建 Pivot，因为它反映了特定数据片段？正是我们需要在特定研究中进行处理的片段。

数据集约束和字段

约束是简单的搜索，用于定义由数据集定义的数据集。它们用于描述它们所服务的根事件数据集和所有子数据集。所有子数据集都继承了父数据集的约束，并拥有自己的新约束。此附加约束确保它们每个都继承其父数据集的数据集子集。

例如，我们可能有一个名为“错误事件”的根事件数据集，其约束是简单的“错误”。该数据集理论上将包含我们系统中涉及字符串“error”的所有事件；它将返回与“error”搜索相同的事件。

大多数事件数据集具有更复杂，但仍然不多的约束。例如，“Splunk 的内部服务器日志”中的示例数据模型包含一个名为“搜索负载用户”的子事件数据集。这包括监视同时运行搜索的用户数量的事件。从该数据集中继承的约束归结为以下搜索

index=_internal source=*metrics_log*

此搜索从内部数据库度量日志事件返回。然后，子数据集具有此附加限制

group=search_concurrency user=*

此命令进一步缩小了数据集所代表的事件集，即来自内部数据库的度量日志事件。这些事件具有伴随的组字段值和任何用户字段值。

事件数据集的定义通常定义其事件数据中出现的字段。字段与指定的数据集相关联。一些字段直接映射到数据集的事件数据；其他字段是度量字段，或者通过查找和正则表达式应用于数据集合的事件。

每个子数据集都继承其父数据集的字段。

这些子数据集可以包含父数据集描述中未包含的附加字段。

使用 Pivot 编辑器设计透视表

在 Pivot 中，一旦我们选择了数据模型，我们就可以进入Pivot 编辑器并选择该数据模型中我们希望基于Pivot 的数据集。

首次输入 Pivot 编辑器时

例如，当我们第一次选择数据集后进入Pivot 编辑器时，我们将处于 Pivot 编辑器的透视表模式。最初，透视表将显示一行，显示数据集的所有时间累计结果计数。

此初始结果计数代表的内容取决于我们选择的数据集类型。

例如，如果我们进入Splunk 内部服务器日志的数据模型并点击搜索负载用户的数据集，我们将看到一个透视表，显示搜索负载用户数据集中的总结果数。

现在我们准备好从这些数据开始构建透视表或 Pivot 地图了。

理解透视表元素

为了描述一个透视表，Pivot 编辑器使用Pivot 元素。有四种基本类型的 Pivot 元素：过滤器、拆分行、拆分列和列值。当我们第一次为特定数据集打开 Pivot 编辑器时，只指定了两个元素

• 默认情况下，过滤器元素必须设置为“所有时间”。
• 列值元素（设置为Count_of_<dataset_name> 字段）

如上一段所述，这给出了数据集在整个时间段内返回的总测试次数。

为了定义我们的透视表，我们可以从每个 Pivot 元素类别中添加多个元素。在决定表格将提供哪些详细信息时，添加、描述和删除 Pivot 元素非常简单。

以下 Pivot 元素描述表解释了这些元素如何在图表和其他可视化中使用。如果您想在将透视表转换为 Pivot 板之前构建它，此信息将很有帮助。

Pivot 元素基础

本节讨论了 Pivot 元素使用的一些基本知识？如何在 Pivot 编辑器处于透视表模式时添加、修改和移动它们。

添加 Pivot 元素

选择“+”符号。这将打开元素对话框，我们在其中选择一个字段，然后定义组件如何使用它。有关对话框功能的信息，请参阅下面的“定义 Pivot 元素”。

检查或编辑元素

点击带有“铅笔”图标的项。这将打开元素对话框。有关对话框功能的信息，请参阅下面的“定义 Pivot 元素”。

重新排序 Pivot 元素类别内的 Pivot 元素。

拖放元素以在其 Pivot 对象组内重新排序。例如，如果我们在“拆分行” Pivot 元素类别中有 page_category 和 department 元素，但想重新排序它们，使 department 排在 page_category 之前，我们可以简单地拖放它们以按所需顺序排列。

将 Pivot 元素从一个 Pivot 元素类别转移到另一个类别。

拖放。我们是否将 page_category 添加为 Column Value 元素，但发现它作为 split 元素效果更好？只需将其拖放到 Split Columns。

我们可以使用以下任何一种方法删除 Pivot 元素

• 我们可以打开其项的对话框并按“删除”按钮。
• 我们可以拖放该项，直到它变成红色。