Splunk - 转换命令

搜索必须将事件数据转换为统计数据表，以创建图表的视觉呈现。 这些统计表是图表和其他类型数据的可视化所必需的。 在本节中，我们将解释如何使用转换命令从事件中提取数据。

它将提供关于转换命令和搜索的简要信息，以获取有关转换命令及其在创建统计表和图表可视化中的作用的更多信息。

转换

一个转换命令将搜索结果命令到数据表中。 这种命令“转换”每个事件的指定单元格值，变为数值，可供 Splunk 软件用于统计目的。 转换命令也是将搜索结果数据转换为可视化所需的结构，例如柱状图、条形图、折线图、面积图和饼图所必需的。

如果用于测量列总计（而不是行总计），转换命令包括 map、timecart、details、top、uncommon 和 addtotals。

我们的搜索必须将事件数据转换为统计数据表，以创建图表的视觉呈现。这些统计表是图表和其他类型数据的可视化所必需的。在这里，我们将学习如何使用转换命令从事件中提取数据。

此 Splunk 教程 解释了主要的转换命令类别，并提供了如何在搜索中使用它们的示例。

转换命令

主要的转换命令是

• charts：构建可以显示您希望绘制的任何数据系列的图表。在图表的 x 轴上，您可以确定跟踪哪个字段。
• timechart：用于创建关于“随时间变化的趋势”的报告，这意味着时间始终是 x 轴。
• top：生成显示最常见字段值的图表。
• rare：创建显示最不常见字段值的图表。
• stats：生成显示摘要统计信息的报告。

注意：我们始终将转换命令放置在搜索命令之后，将它们链接到管道操作符。

命令Chart、Timechart和Stats都旨在与统计函数一起使用。可用的统计函数列表是

• 计数、不同计数
• 均值、中位数、众数
• 最小值、最大值、范围、百分位数
• 标准差、方差
• sum
• 首次出现、最后一次出现

某些统计函数仅适用于timechart命令。

注意：所有搜索都使用转换命令创建不同的数据结构。不同的图表形式允许以特定的方式设置这些数据结构。例如，并非所有搜索都允许我们生成条形图、柱状图、折线图和面积图。它们是根据数据的需要自动选择的。选择图表是为了能够最好地呈现数据。

我们可以使用实时搜索来衡量大型传入数据流的指标，而无需使用摘要索引。但是，我们关于实时和连续数据流的报告将在事件进入时更新时间线，并且我们只能以预览模式显示表格或地图。某些搜索命令也更适用于实时使用。

重点

此命令用于突出显示搜索结果集中特定的单词。通过提供带有搜索词作为参数的突出显示功能来使用它。用逗号分隔它们提供几个搜索词。

在下面的示例中，我们查看术语safari和butter的结果集。

注意
本教程中的示例用于不同的数据集，例如 safari 和 butter。我们可以使用任何其他我们想要在数据库中搜索的关键字。

图表

chart命令是一个用于转换的命令，它将以表格的形式返回用户请求的结果。然后我们可以使用结果将数据显示为地图，例如面积、折线、柱状图等。在下面给出的示例中，我们正在为每种类型的文件创建一个水平条形图，并且我们正在绘制它的平均字节大小。

Stats

命令stats用于将搜索结果的数据集转换为不同的统计表示形式，这取决于我们将为此命令提供的参数或参数的类型。 我们在下面的示例中使用了 count 函数 stats 命令。 在此示例中，我们将计算在一周中的某一天生成的文件的数量。 搜索字符串的结果将以表格形式显示，其中每一天都创建行。