Splunk 报告生成

在本节中，我们将学习如何在 Splunk 中生成报告。 生成的报告可以进一步用于本地使用。 我们还可以将其设置为自定义仪表板。 在这里，我们将展望更改其权限，以及在 Splunk 中保存报告后如何编辑报告。 我们还将学习更改生成的报告的查看权限。

当我们创建希望再次运行或与他人分享的搜索或数据透视表时，我们可以将其保存为报告。 这意味着我们可以从 Splunk 平台的搜索和数据透视表两方面生成报告。

一旦我们生成了报告，我们可以

• 在查看报告的页面上查看报告返回的结果。 我们可以通过单击“报告”列表选项卡上的报告名称来访问报告的显示页面。
• 打开报告并对其进行编辑，以便返回不同的数据或以不同的方式显示其数据。 根据其创建方式，我们的报告会在数据透视表或搜索中打开。

此外，如果我们的权限允许我们这样做，我们可以

• 更改报告权限以与其他 Splunk 用户共享。
• 计划报告以便按常规间隔运行。 计划的报告每次运行时都可以采取操作，例如通过电子邮件将报告发送给一组利益相关者。
• 加速内置搜索中完成速度较慢的报告。
• 将计划的报告嵌入到外部网站上。
• 将仪表板报告添加到仪表板面板。 注意：通过数据透视表设计的报告权限必须与用于创建它们的数据模型相符。
• 保持报告名称相对较短。

在命名我们的文章时，为我们的报告提供一个相当短且特殊的名称，而不是默认命名。 这种做法可以帮助我们避免不允许报告运行的错误。

每次我们运行查询时，搜索头都会生成一个特定的搜索 ID (SID)，基于以下组合

• 报告所有者的用户名
• 运行报告的人员的用户名
• 报告的应用程序上下文的名称
• 报告的名称
• 报告的启动时间，以 Unix epoch 时间格式表示。
• 包括运行报告的搜索头的主机名和 GUID。
• 在 Base64 中，加密用户名和设备名称，以确保唯一的或有害的字符不包含在目录名称中。 Base64 编码长度与原始字符串长度成正比。 它不是从字符到字符的转换。

然后，搜索头会在 $SPLUNK_HOME/var/run/splunk/dispatch/ 下为报告创建一个调度目录，该目录使用搜索 ID 作为其名称。

Linux 文件系统最多只能接受 255 个字符。 如果调度目录的完整文件路径超过 255 个字符，则无法创建调度目录。

保持报告名称相对较短，以防止这种情况发生。 如果我们具有 Admin 角色，或者我们的角色具有管理员级别的功能，我们可以采取其他措施来避免这种情况，例如保持搜索头的主机名、用户名和应用名称较短。

在 Splunk Web 中手动创建报告

我们可以通过 Splunk Web 四种方式创建报告

• 从“搜索”中，将搜索另存为报告。
• 从“数据透视表”中，将数据透视表另存为报告。
• 通过选择 设置 > 搜索、报告和警报 并单击 新建报告 来添加新报告。
• 从仪表板中，将由内联搜索驱动的仪表板面板转换为报告。

从“搜索”或“数据透视表”视图将搜索或数据透视表另存为报告

在设计返回有用结果的搜索或数据透视表时，我们可以将其另存为报告。 报告会保留我们为原始搜索设置的任何格式，包括显示地图可视化和事件列表的选项。

注意：只有当搜索处于运行、暂停、最终确定或完成状态时，我们才能将搜索另存为报告。 运行搜索或设计值得另存为报告的数据透视表。

1. 单击“另存为”，然后选择“报告”。要另存为报告，请搜索或旋转。 报告会保留我们为原始搜索设置的任何格式，包括显示地图可视化和事件列表的选项。
2. 提供唯一的报告标题。 支持的标题字符为 a-z、A-Z、0-9。
3. 提供摘要或描述。 这是可选的。
4. 向报告添加带有时间范围的选择器。 时间范围选择器允许用户在特定时间段内重新运行报告，而无需直接编辑它，无需书面许可。

如果我们不提供时间范围的选择器，则报告将始终在与原始搜索相同的时间范围内运行。 要更改时间范围，具有报告编辑权限的用户必须在“搜索”中打开报告，更新其时间范围，然后保存该编辑。

对于计划的报告，时间范围选择器选项不可用，它始终显示上次计划运行返回的结果。 如果我们计划一个带有时间范围选择器的报告，则时间范围内的选择器将消失。

5. 单击“保存”以将搜索另存为报告。

将搜索另存为报告时，我们可以