Splunk Splunk 7.x Fundamentals Part 1 - Module 10: Report and Dashboard.

pluto

Internship/Fresher
Sep 8, 2020
51
11
8
Splunk 7.x Fundamentals Part 1 - Module 10
Report and Dashboard.


1. Report
1.1 Creating a Report from a Search
Để tạo một Report, thực hiện theo các bước:
  • 1 :Run Search
  • 2 :Chọn Save As
  • 3 : Chọn Report
    image001.jpg

Sau đó xuất hiện bảng chọn, điền và chọn các tùy chọn như sau:

  • A : đặt tên cho Report.
  • B : Mô tả.
  • C: Chọn Yes để có thể sử dụng tùy chọn khoảng thời gian cho Report sau này.
Sau khi hoàn thành, chọn Save.
image002.jpg




Sau khi ấn Save, Report sẽ được tạo. Lúc này có thể chọn các tùy chọn sau:
  • Continue Editing: Tiếp tục edit Report.
  • Add to Dashboard: Thêm Report này vào một Dashboard.
  • View: Xem Report.
Ngoài ra còn có các cài đặt thêm, sẽ giới thiệu trong mục dưới đây.

image003.jpg



1.2 Running Reports

Để quản lý một Report, Chọn Reports để truy cập nơi lưu các Report đã tạo.
image004.jpg



Chọn một Report bất kì, sau đó chọn Open in Search, lúc này có thể chọn lại thời gian và thực hiện Search:
image005.jpg




1.3. Editing Reports
Để Edit một Report đã được tạo, vào mục Report trên thanh công cụ Splunk, chọn một Report bất kỳ, sau đó chọn Edit, sẽ xuất hiện các tùy chọn để Edit Report như:
  • Edit Description: Sửa mô tả của Report.
  • Edit Schedule: Chọn lại khoảng thời gian chạy Report.
  • Edit Acceleration: Tăng độ ưu tiên cho Report hiện tại cao hơn các Report khác. Tuy nhiên gây tốn RAM và CPU hơn, chỉ áp dụng cho các Report quan trọng.
  • Clone: Clone một Report mới từ Report hiện tại.
  • Delete:Xóa Report này.
image006.jpg



Embed: Nhúng Report vào một Web( Yêu cầu đã bật tính năng Schedule cho Report).
image007.jpg



1.4. Creating Reports From the Field Window
Để tạo một Report từ Field trong kết quả của câu Search. Thực hiện một câu lệnh bất kỳ:

image008.jpg




Sau đó, trong các Fields trả về của câu Search, chọn một Field muốn tạo Report, sau đó click chuột phải vào Field này:
image010.jpg



Trong mục Reports của Field này, có thể chọn các tiêu chí đã được liệt kê để tạo Report, ví dụ chọn Top Values. Lúc này Splunk sẽ tự động hoàn thiện câu Search, đồng thời hiển thị Report dưới kiểu Bar Chart:





1.5. Changing the Visualization
Lúc này, ta có thể thay đổi kiểu hiển thị biểu đồ, bằng cách Click vào kiểu biểu đồ hiện tại(Cạnh nút Format):
image014.jpg


Có thể chọn các kiểu biểu đồ có sẵn, hoặc chọn Find more visualizations để install nhiều kiểu biểu đồ. Tuy nhiên, tùy từng loại biểu đồ phù hợp với từng loại dữ liệu khác nhau.

1.6. Changing the Visualization Format

Để thay đổi Format , chọn Format. Trong đó có các tùy chọn:
  • General: Thay đổi Stack và Multi-series modes.
  • X-Axis: Thay đổi nhãn trục tung(dọc).
  • Y-Axis: Thay đổi nhãn trục hoành(ngang).
  • Chart Overlay: chuyển qua đường biểu đồ.
  • Legend: Thay đổi phần tử chú thích.

1603427654056.jpeg



Ví dụ Multi-series Mode:
image016.jpg




1.7. Viewing Results as a Table
Chuyển qua tab Statistics để xem Report dưới dạng bảng:

image017.jpg



Chọn Format để tùy biến định dạng bảng:
image018.jpg



Các tùy chọn có thể làm như:
  • Row Number: Hiện số hàng.
  • Click Selection: Khi click chuột sẽ chọn 1 ô hoặc 1 hàng.
  • Data Overlay: Tô màu theo từng giá trị từ cao đến thấp.
2. Dashboard
2.1. What Is a Dashboard?

Là một tập hợp các thành phần gọi là Panel. Panel có thể là các bảng, hoặc các biểu đồ.

image019.jpg


2.2. Adding a Report to a Dashboard
Để thêm một Report vào DashBoard, chọn Report trên thanh công cụ, sau đó Click chuột vào Report cần thêm.
image021.jpg




Chọn Add to DashBoard để thêm vào DashBoard:
image022.jpg



Hoàn thành các thông tin bên dưới để tạo DashBoard mới:

  • A: Tên của DashBoard và mô tả. DashBoard ID sẽ tự sinh theo tên của Dashboard.
  • B: Thêm quyền cho các user khác thao tác với DashBoad.
  • C: Nhập tên cho Panel này.
  • D: chọn Report.
  • E: Chọn định dạng của Panel.
Sau đó chọn Save để tạo DashBoard.
image023.jpg



Hoàn thành các thông tin bên dưới để add vào một DashBoard có sẵn trước đó:
  • DashBoard: chọn Existing, sau đó chọn tên DashBoard muốn thêm vào.
  • Panel Title: đặt tên cho Panel này.
  • Panel Powered By: chọn Report.
  • Panel Content: Chọn kiểu biểu đồ của Panel này.
image024.jpg





Sau khi thêm, chọn View DashBoard để xem thay đổi trên DashBoard vừa thêm:
image025.jpg




Việc tạo Dashboard dựa trên các Report là hiệu quả nhất vì:
  • Một Report có thể được sử dụng trên nhiều Dashboard khác nhau.
  • Bất kỳ thay đổi trên Report đều ảnh hưởng đến tất cả các Dashboard sử dụng Report đó.

2.3. Manage DashBoard

Để quản lý các Dashboard đã tạo, chọn Dashboards trên thanh công cụ Splunk, sau đó chọn Dashboard muốn xem:
image026.jpg


Dashboard Port:
image027.jpg



Chọn Edit để tiến hành chỉnh sửa Dashboard:
image029.jpg



Lúc này ta có thể các tùy chọn sau để Edit từng Panel trong Dashboard:
image030.jpg



2.4. Editing Drilldown Panel
Drilldown là chức năng Splunk cung cấp để link các thành phần trên biểu đồ, để khi click vào thành phần đó sẽ hiển thị đến các đối tượng được link.
Để thực hiện tính năng này, chọn icon More actions, chọn Edit Drilldown:
image031.jpg




Xuất hiện bảng Drilldown Editor:
image032.jpg




Link to Search: Link thành phần của biểu đồ với một câu search tương ứng.
image033.jpg



Link to dashboard: Link thành phần của biểu đồ với một dashboard tương ứng.
image034.jpg



Link to report: Link thành phần của biểu đồ với một Report.

image035.jpg




Link to custom URL: Link thành phần của biểu đồ với một đường dẫn URL.

image036.jpg




2.5. Clone a Dashboard
Sử dụng tính năng Clone để tạo một Dashboard mới dựa trên dashboard có sẵn.

Chọn nút More Action trên góc của dashboard, sau đó chọn Clone:
image037.jpg





2.6 Export a Dashboard
Để Export một Dashboard, chọn nút Export, sau đó chọn Export PDF, lúc này sẽ splunk sẽ xuất một file PDF của dashboard, người dùng có thể tải về.

image038.jpg



2.7 Set the Default Dashboard
Đặt Dashboard làm Default Home Dashboard, có 2 cách.

Cách 1: Chọn Dashboard muốn đặt làm Default Home, sau đó chọn nút More Actions, chọn Set as Home Dashboard.
image039.jpg





Cách 2: Từ trang Home của Splunk , click vào Choose a home dashboard:
image040.jpg




Sau đó chọn tên Dashboard muốn đặt Default Home trong danh sách, sau đó ấn Save.

image041.jpg


Lúc này, Dashboard sẽ hiển thị trên Default Home:
M10_SF1_final.jpg
 

Attachments

  • image008.jpg
    image008.jpg
    239.6 KB · Views: 0
  • image012.jpg
    image012.jpg
    89.2 KB · Views: 0
  • 1603427557411.jpeg
    1603427557411.jpeg
    89.2 KB · Views: 0
  • image023.jpg
    image023.jpg
    45.2 KB · Views: 0
  • image036.jpg
    image036.jpg
    32.3 KB · Views: 0
  • image038.jpg
    image038.jpg
    28.7 KB · Views: 0
  • image039.jpg
    image039.jpg
    42.3 KB · Views: 0
  • image039.jpg
    image039.jpg
    42.3 KB · Views: 0

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu