Splunk Enterprise是一款数据分析软件,可以读取企业网络设备数据、应用程序数据、传感器数据到软件执行可视化软件,企业部署的设备以及各种工作软件都可以连接到这款软件,可以在软件上统计事件信息,可以分析报警内容,可以创建报告,让企业管理人员可以更好在软件上分析各种业务数据,还可以创建可视化的报表展示数据,报表基于单个搜索且可能包括可视化、统计信息和/或事件,单击名称可查看报表,也支持在数据透视表或搜索中打开报表以优化参数或进一步浏览数据,如果你需要这款软件就下载吧!
关于 Splunk 企业版
Splunk Enterprise 是一种软件产品,可让您搜索、分析和可视化从 IT 基础设施或业务的组件中收集的数据。Splunk Enterprise 从网站、应用程序、传感器、设备等获取数据。定义数据源后,Splunk Enterprise 会为数据流编制索引并将其解析为一系列您可以查看和搜索的单独事件。
大多数用户使用 Web 浏览器连接到 Splunk Enterprise,并使用Splunk Web来管理他们的部署、管理和创建知识对象、运行搜索、创建数据透视表和报告等。您还可以使用命令行界面来管理您的 Splunk Enterprise 部署。
您可以使用应用程序扩展 Splunk Enterprise 环境以满足您组织的特定需求。应用程序是在 Splunk 平台上运行的配置、知识对象、视图和仪表板的集合。单个 Splunk Enterprise 安装可以同时运行多个应用程序
以下部分重点介绍了七个 Splunk Enterprise 功能。
1、索引
Splunk Enterprise 处理和存储代表您的业务及其基础设施的数据。您可以从网站、服务器、数据库、操作系统等设备和应用程序收集数据。收集数据后,索引会分段、存储、压缩数据并维护支持元数据以加速搜索。
2、搜索
搜索是用户在 Splunk Enterprise 中浏览其数据的主要方式。您可以将搜索保存为报告,并使用它来支持仪表板面板。搜索可从您的数据中提供洞察力,例如:
从索引中检索事件
计算指标
在滚动时间窗口内搜索特定条件
识别数据中的模式
预测未来趋势
3、警报
当历史搜索和实时搜索的搜索结果满足配置的条件时,警报会通知您。您可以配置警报以触发操作,例如将警报信息发送到指定的电子邮件地址、将警报信息发布到 RSS 源以及运行自定义脚本,例如将警报事件发布到系统日志的脚本。
4、仪表盘
仪表板包含模块面板,如搜索框、字段、图表等。仪表板面板通常连接到已保存的搜索或数据透视表。它们显示已完成搜索的结果以及来自在后台运行的实时搜索的数据。
5、数据透视
数据透视是指您使用数据透视编辑器创建的表格、图表或数据可视化。Pivot Editor 允许用户将数据模型对象定义的属性映射到表格、图表或数据可视化,而无需使用搜索处理语言 (SPL)编写搜索来生成它们。数据透视可以保存为报告并添加到仪表板。
6、报告
Splunk Enterprise 允许您将搜索和数据透视表保存为报告,然后将报告作为仪表板面板添加到仪表板。临时运行报告,安排它们定期运行,或设置计划报告以在结果满足特定条件时生成警报。
7、数据模型
数据模型对有关一组或多组索引数据的专门领域知识进行编码。它们使 Pivot Editor 用户能够创建报告和仪表板,而无需设计生成它们的搜索。
增强安全性
拥有更强大的安全态势变得越来越难。攻击更加复杂,攻击者拥有比以往更多的方法。Splunk 可帮助您实现跨任何环境的安全操作现代化。结果:支持业务增长的更高效、更敏捷的安全运营中心 (SOC)。
推动弹性
客户希望他们最喜欢的应用程序、网站和产品能够正常运行。每次。这意味着您的系统必须是灵活的、可用的和高性能的——不管他们遇到什么。Splunk 提供技术堆栈所有层的运行状况和性能的实时视图,因此您可以主动发现问题、快速修复问题并优化性能。
解锁创新
要进行任何规模的创新,组织都需要安全可靠的系统来找到正确的见解并据此采取行动。Splunk 提供了一个平台,您可以在数据中发现新机会并保持创新,即使面对不可预测性
1、解压下载的全部文件,打开b23agv文件夹,安装里面的splunk-6.4.3-b03109c2bad4-x64-release.msi
2、安装结束后停止Splunk的服务内容,将crack破解文件夹里面的splunkd.exe复制到安装地址替换,地址是C:Program FilesSplunkbin
3、如果提示该程序正在运行,无法替换,只需要进入任务管理器将splunkd service服务停止就可以替换成功
4、替换完毕后在任务管理器服务界面,将splunkd service服务再次打开,这样软件就可以正常运行
5、打开splunkd软件自动进入浏览器管理界面,提示登录界面,输入名字admin,输入密码changeme,点击Sign in登录软件
6、登录后提示许可证设置界面,选择第一个Enterprise许可证,点击保存
7、弹出添加许可文件的界面,点击选择文件,添加b23agv文件夹里面的splunk-enterprise.lic到软件使用,点击安装
8、如果在b23agv文件夹无法添加就将许可证lic复制到软件的安装地址下添加
9、提示新的许可证已经添加,点击立即重启
10、重启完毕登录自己的账号,可以查看到授权信息,提示无许可违规,提示有效期2038年
11、现在就可以在软件上管理自己的应用,如果你的企业已经部署了应用程序或者硬件设备就可以在这款软件管理设备
12、账号信息设置界面,可以在这里添加新的账号,设置新的密码
1、添加数据后,使用“搜索”查看运行搜索、设计数据可视化、保存报表和创建仪表板。
2、您的搜索可以包括单词、短语、字段=值对、通配符(*),以及例如 AND、OR 和 NOT 等布尔运算符。
3、选择更小时间范围加快您的搜索速度及缩小您的搜索结果。
4、突出事件的一部分并单击它,将它包括或排除于搜索中。
5、字段边栏显示搜索已自动从事件中提取出来的字段。使用字段提取器提取其他字段。
6、字段摘要显示字段值的分布。单击一个值将其加入您的搜索或使用“报表”链接创建可视化。
7、使用特殊搜索命令将搜索结果转换至统计数据图表中并创建可视化。
8、选择一个匹配您所想要传递信息的可视化类型。选择可视化后,您可以自定义其外观。
9、您可以可视化您的搜索结果并使用仪表板面板与他人分享。
10、如果您已经有一个仪表板,您可以从报表中添加新面板、从另一个仪表板中复制,或添加预构建面板。
11、您可以修改面板搜索或选择不同的可视化,例如,将您的数据设计成饼图或条形图。选择可视化后,您可以自定义其外观。
12、您可以检查搜索、以不同格式导出,或刷新它以可视化最新数据。
13、您可以以 PDF 格式导出仪表板或通过电子邮件计划 PDF 交付。
使用数据透视编辑器设计数据透视表
添加枢轴元素
单击+图标。这将打开元素对话框,您可以在其中选择一个字段,然后定义元素如何使用该字段。有关元素对话框的详细信息,请参阅下面的“定义枢轴元素”。
检查或编辑元素
单击元素上的“铅笔”图标。这将打开元素对话框。有关元素对话框的详细信息,请参阅下面的“定义枢轴元素”。
对枢轴元素类别中的枢轴元素重新排序
将元素拖放到其枢轴元素类别中以对其重新排序。例如,如果您在 Split Rows 枢轴元素类别中有page_category和department元素,但您想要将它们重新排序以便排department在之前 page_category,您只需将它们拖放到正确的顺序即可。
在枢轴元素类别之间传输枢轴元素
拖放它们。您添加page_category为列值元素只是为了意识到它作为拆分列元素会更好地工作吗?只需将其拖到拆分列并将其放在那里。
元素转移注意事项:
您不能将元素传入或传出过滤器类别。
您不能将具有Count_of_字段的列值元素转移到任何其他类别。同样,如果您正在使用具有子项的数据集,则不能将具有is_< child_dataset_name>或is_not_字段的列值元素传输到任何其他元素类别。以下是这些列值选项如何针对包含子项的数据集显示的示例:
从枢轴编辑器中删除枢轴元素
您可以通过以下两种方式之一删除枢轴元素:
您可以打开其元素对话框并单击删除按钮。
您可以向上或向下拖动元素,直到它变成红色并将其放下。
为数据透视表配置元素
添加或编辑枢轴元素时,您可以使用元素对话框来定义它。元素对话框分为两个步骤。在一个步骤中,您可以选择(或更改)元素字段。在另一个步骤中,您定义(或更新)元素配置。
添加元素时,首先选择元素字段,然后继续配置元素。
当您编辑现有元素时,您将从元素配置步骤开始。单击对话框中的后退箭头转到元素字段步骤,您可以在其中更改字段。
配置过滤元件
您可以为数据透视表定义三种过滤元素:
构建枢轴时,时间过滤器始终存在;你不能删除它。它定义了数据透视表返回结果的时间范围。它的操作与整个 Splunk Web 中使用的时间范围菜单完全一样。
匹配过滤器使您能够为字符串、数字、时间戳、布尔值和 IPv4 地址设置匹配。例如,您可以找到所有价格大于或等于 $19.99 的在线商店购买事件。或者,您可以找到网站访问者的 IPv4 值以 开头的所有网站点击192.168。
注意:目前匹配过滤器可用于设置“AND”布尔运算,但不能设置“OR”布尔运算。因此,您可以设置一对过滤器,组合起来时会说customer_country = Spain AND France但不会customer_country = Spain OR France。
限制过滤器使您能够以某种方式限制数据透视表返回的结果数量。
下面是一个限制过滤器示例:假设您有一家提供数百种产品的在线商店,并且您想了解有关过去一周购买的商品的更多信息。您可以创建一个数据透视报告,按产品名称细分购买事件的总数,并通过该报告快速查看您的哪些产品是该时期的最畅销产品。但是,如果您想了解哪 10 种产品是您同期收入最高的产品怎么办?您需要做的就是添加一个 limit 过滤器元素,以确保报告仅显示其购买事件的价格总和最高的 10 种产品。这样,过去一周内只有 10 次购买事件但price价值 100 美元(总金额为 1000 美元)的产品可能位于列表的顶部,而具有 500 次购买事件但price1 美元(500 美元)在列表中可能低得多,并且可能不在返回的前 10 个结果中。
为了使表格更易于阅读,您可以添加一个显示价格的拆分行列和一个显示价格总和(给定时间范围内所列产品返回的收入总额)的列值列。
下面是这个示例的外观,数据类似于数据模型教程中的数据,按“价格总和”排序。请注意,购买最成功的产品不在列表顶部。
匹配过滤器选项
匹配过滤器元素的配置选项取决于您为该元素选择的字段类型。
如果您将过滤器基于字符串类型字段,则指定一个过滤规则(您的选项是is、contains、is not、does not contain、starts with、ends with、is null和is not null)和字段应该应用过滤规则(不适用于is null和is not null过滤规则)。
如果过滤器基于 IPv4 字段,则可以指定与字符串字段相同的选项,但ends with过滤器规则除外。
如果您将过滤器基于数字类型字段,则指定一个过滤规则(您的选项是=、!=、<、<=、>=、>、为 null和is not null)和字段值过滤规则应应用于(不适用于is null和is not null过滤规则)。
如果过滤器基于布尔类型字段,则可以指定过滤器是否应选择字段值为true、false、null或非null的事件。
如果您将过滤器基于时间戳类型字段,则可以使用时间范围菜单来选择最早和最晚时间。
限制过滤器选项
您可以将限制过滤器元素基于字符串和数字类型字段。您可以指定:
要限制的字段——这可以是任何字符串、数字或当前数据集中可用的Count_of_字段,包括过滤器元素正在过滤的字段。
如何限制:您的选择是最高和最低
要返回的最大结果数——这可以是任何数字。
申请限制的统计功能。此处可用的功能取决于您要限制的字段类型。
对于字符串字段,您可以选择counts和distinct counts。
对于数字字段,您可以选择counts、distinct counts、sums和averages 。
对于Count_of_字段,counts是唯一可能的选择。
注意:为具有高基数(例如或)的字段选择不同的计数会降低数据透视性能。 NamePhone_Number
配置拆分行或拆分列元素
可用于拆分行和拆分列元素的配置选项取决于您为它们选择的字段类型。一些配置选项特定于拆分行或拆分列元素,而无论您选择什么字段类型,其他选项都可用于任一元素类型。
无论字段类型如何,拆分行和拆分列元素通用的配置选项
最大行数或最大列数 - 结果表中可以出现的最大行数或列数。必须是非负数;值为0表示未设置最大值。在一些特殊情况下,Max Rows/Max Columns选项不可用:
如果只有一个拆分,并且它是基于时间戳或布尔字段类型。
如果只有一个拆分并且它基于数字字段类型并配置为使用数字范围(请参阅下面的数字字段类型可用的配置选项)。
总计- 指示是否在名为ALL的字段中包含表示所有其他项总计的行或列。
默认设置为否。
所有行/列不计入最大行数/最大列数限制。
无论字段类型如何,特定于拆分行元素的配置选项
标签- 出于报告目的,使用它可以使用不同的文本字符串覆盖字段名称。例如,您可以使用它来确保标题为“产品名称”的字段在数据透视表中显示为“产品”。
排序- 应如何对元素创建的拆分行进行排序。可用值为Default、Descending和Ascending 。默认为默认。
当排序值为默认值时, Splunk 软件会根据第一个拆分的字段类型对行进行自然排序。换句话说,如果第一次拆分是打开的uri(字符串字段),则行将按 的值的字母顺序排序uri。如果它打开_time(时间戳字段),行将按时间顺序升序排序。
当Sort值为Descending或Ascending时,行将按输出度量值的第一个 Column Values 元素的值排序(通过计数、总和、平均值等聚合操作)。
无论字段类型如何,特定于拆分列元素的配置选项
Group Others - 指示是否将最大列限制排除的任何结果分组到单独的OTHER列中。
可用值是Group Others和Hide Others。默认为Group Others。
OTHER列不计入最大列限制。
如果您为拆分行或拆分列元素选择了字符串字段
没有特定于拆分行和拆分列元素通用的字符串字段的配置选项。
如果您为拆分行或拆分列元素选择了数字字段
创建范围- 指示您是希望将数值表示为范围(是)还是单独列出(否)。默认情况下设置为Yes,但如果您将其他值范围字段留空,它的行为就像设置为No一样。选择“是”时,您可以选择确定:
将结果排序到的最大范围数
每个范围的最大尺寸
范围的开始值和结束值
如果您为拆分行或拆分列元素选择了布尔字段
您可以为真值和假值提供替代标签。
如果您为拆分行或拆分列元素选择了时间戳字段
Period - 使用它按Year、Month、Day、Hour、Minute或Second对时间戳结果进行存储。默认设置为自动。
配置列值元素
当您第一次进入 Pivot Editor 时,您会发现一个列值元素,它提供数据集在所有时间返回的结果计数。您可以更改的“<数据集名称> 计数”元素的唯一方面是其标签——更改其在数据透视表中的名称。您可以选择保留此元素,或删除它以支持或不同的列值元素。
新的列值元素可以基于字符串、数字和时间戳字段类型。在所有情况下,您都可以根据需要更新元素的标签。
当您添加字符串、数字或时间戳记事件时,您指定了应该用于计算列单元格中显示 的值的计算。
对于字符串字段,选项有List Distinct Values、First Value、Last Value、Count和Distinct Count。
对于数字字段,选项有Sum、Count、Average、Max、Min、Standard Deviation和List Distinct Values。
对于时间戳字段,选项为Duration、Earliest和Latest。
注意:为具有高基数(例如或)的字段选择Distinct Count会降低数据透视性能。 NamePhone_Number
网络其它 /
下载网络其它 /
下载网络其它 /
下载网络其它 /
下载网络其它 /
下载网络其它 /
下载网络其它 /
下载网络其它 /
下载网络其它 /
下载
网友评论