splunk - 是否可以制作动态 splunk 仪表板?
问题描述
如果有人已经问过这个问题,请原谅我,但由于我还没有找到满意的答案,所以发布这个查询。
我是 Splunk 的初学者。只是想知道我正在尝试做的事情是否可行。
我正在尝试制作一个有 3 个面板的 Splunk 仪表板。我想将一个面板的结果传递给另一个,它可以在查询中使用。简单地说,我想找到一个事件的计数:首先从一年(span = 1mon)开始每月明智。然后选择计数最高的月份并找到该月的计数日(跨度 = 1d)。从这个月开始,我想选择计数最高的一天,然后找到事件计数最高的小时(跨度 = 1h)。现在我正在手动完成整个过程。
- 查找具有最大事件计数的月份 -> max_month
- 从 max_month -> max_day 中查找具有最大事件计数的日期
- 从 max_day 中查找具有最大事件计数的小时
是否可以使用可以自动选择最大月、日和小时的仪表板来自动化此过程?
我尝试使用嵌套查询,但无法取得任何重大进展。
解决方案
如果要将值从一个面板传递到另一个面板,则需要定义一个标记并将第一个面板的搜索结果设置为该标记。然后在第二个面板中使用该令牌。请参阅https://docs.splunk.com/Documentation/Splunk/7.2.0/Viz/ContextualDrilldown。他们有很好的例子。以下是一个
<dashboard>
<row>
<panel>
<table>
<title>Event counts by sourcetype</title>
<search>
<query>index=_internal | stats count by sourcetype</query>
</search>
<drilldown>
<set token="show_panel">true</set>
<set token="selected_value">$click.value$</set>
</drilldown>
</table>
</panel>
<panel depends="$show_panel$">
<event>
<title>Recent events for $selected_value$</title>
<search>
<query>index=_internal sourcetype=$selected_value$ </query>
<earliest>$earliest$</earliest>
<latest>$latest$</latest>
</search>
<option name="count">5</option>
</event>
</panel>
</row>
</dashboard>
但是,最好使用查询来解决您的问题。为了进一步提供帮助,您可以发布您尝试过的嵌套查询吗?
推荐阅读
- mapbox - 禁用 Mapbox GL Draw 多边形的编辑
- excel - Excel VBA 错误消息 - Range 类的选择方法失败
- javascript - 如何在Angular 9中隐藏动态表的元素
- xampp - 用 XAMPP 狙击它
- session - 了解 JWT 和 session 的授权部分
- java - 如何在程序启动时初始化persistance.xml 变量?
- python - 最大似然估计 Python
- php - PHP中的多维JSON数组?
- model-view-controller - 在 godaddy plesk 文件 io 错误上运行 MVC 项目
- python - 服务器在 python django 中的 http://127.0.0.1:8000/admin/ 停止