Splunk Splunk 7.x Fundamentals Part 1 - Module 11: Pivot, Data Model, and Datasets

1.Pivot, Data model and Datasets.
1.1 Pivot
Mặc dùng SPL(Splunk search language) rất mạnh mẽ, có thể bóc tách được các dữ liệu trong từng event. Tuy nhiên, điểm yếu của SPL là phức tạp, gây khó tiếp cận cho nhiều đối tượng người sử dụng. Do đó, Splunk tạo ra chức năng Pivot, cho phép những người dùng thiết kế một Report, Dashboard mà không cần sử dụng SPL.

Chi tiết Pivot xem tại đây: https://docs.splunk.com/Documentation/Splunk/8.1.0/Pivot/IntroductiontoPivot

1.2 Data model
Data models là các đối tượng cung cấp cấu trúc dữ liệu cho Pivot. Được tạo bởi các các quản trị viên với kiến thức SPL tốt và sự hiểu biết sâu về dữ liệu. Có thể xem Data model là framework, và Pivot là một Interface của Data.

Chi tiết Data model xem tại đây: https://docs.splunk.com/Documentation/Splunk/8.1.0/Knowledge/Aboutdatamodels

1.3 Datasets
Mỗi Data model được tạo thành bởi các Datasets. Datasets là tập hợp nhỏ hơn của data, được xác định cho một mục đích cụ thể. Chúng có thể được biểu diễn dưới dạng bảng với tên trường(field) làm cột, giá trị trường được xếp vào từng ô(Cell).

Chi tiết Datasets xem tại đây : https://docs.splunk.com/Documentation/SCS/current/Search/Datasets



2.Opening in Pivot
Sử dụng câu search sau:

index=main sourcetype=access_combined_wcookie

Sau khi kết thúc câu search, chọn tab Visualizaiton:




Click vào Visualization tab, xuất hiện ba icons: Pivot, Quick Reports, and Search Command.
Để mở một Pivot, chọn Pivot icon:


Xuất hiện bảng Fields, chọn All Fields, sau đó chọn OK:





Lúc này, xuất hiện bảng New Pivot:

3.Filters
Chức năng Filters cho phép lọc theo các tiêu chí như: thời gian, thêm hoặc bớt các Field mong muôn/không mong muốn hiển thị.

Dưới mục Filters, Click vào All time(mặc định) để tùy chọn khoảng thời gian:




Chọn dấu (+) để thêm các trường Field muốn hiển thị trên Pivot. Ví dụ dưới đây, chọn trường file để hiện thị trong Pivot:




Trong tab file hiện lên, sử dụng Match để định nghĩa. Ví dụ dưới đây, chọn is và cart.do( tương đương định nghĩa chọn các sự kiện có chưa cart.do).
Từng loại Field mà có các tùy chọn Match khác nhau.



4.1 Split Rows
Split Rows cho phép thêm các hàng vào trong Pivot.

Trong Split Rows, chọn dấu + , sau đó chọn Field muốn thêm vào Pivot, ví dụ dưới đây, chọn productId:




Trong phần Sort, các tùy chọn bao gồm:

• Default - sắp xếp thứ tự tăng dần theo các giá trị trong field.
• Descending - sắp xếp thứ tự tăng dần theo count.
• Ascending - sắp xếp thứ tự giảm dần theo count.

4.2 Results of Pivot
Sau khi thêm hàng(Row) vào Pivot, kết quả được như sau:






4.3 Formatting the Results
Sau khi Pivot được thêm vào, Splunk cung cấp chức năng có thể Format

Để format kết quả hiển thị, chọn Format ở dưới kết quả:





Xuất hiện tab Format cho phép chỉnh sửa Pivot.

• Trong General, có các tùy chọn:
• Wrap Results: Đóng khung Pivot.
• Row Number: Hiện số dòng.
• Click Selection: Khi click vào Pivot, đối tượng được chọn Hàng(Row) hoặc Ô(Cell).

Data Overlay: Hiển thị màu của bảng trong Pivot theo mức độ giá trị của từng Cell.

Trong tab Summary:

• Totals: Hiển thị tổng các giá trị.
• Percentages: Hiển thị phần trăm giá trị.

5.1 Split Columns
Split Columns cho phép thêm các cột vào trong Pivot.

Trong Split Columns, chọn dấu + , sau đó chọn Field muốn thêm vào Pivot, ví dụ dưới đây, chọn refere_domain:




Chọn Add To Table:




5.2 Results
Sau khi thêm cột (Column) vào Pivot, kết quả được như sau:



5.3 Add Additional Filters

Trong trường hợp Pivot dư thừa hoặc thiếu các thông tin, sử dụng

Để thêm các điều kiện lọc, chọn Filters, click vào dấu + , chọn referer_domain







Trong phần Match, chọn is not, nhập www.buttercupgames.com




Sau khi chọn sau, Add To Table:




Sau khi thêm điều kiện filter, kết quả bảng hiển thị đã loại bỏ cột buttercupgames.com đã được loại bỏ ra khỏi bảng:


6.Select a Visualization Format


Chọn định đạng biểu đồ ngay tại các tùy chọn bên cạnh, ví dụ chọn biểu đồ Line Chart:



Area Chart:



7.Modify Visualization Settings
Bạn có thể thay đổi tùy chỉnh cho các biểu đồ này, bằng cách sử dụng các các năng sau để tùy chỉnh.




8.Saving a Pivot as a Report
Để lưu Pivot dưới dạng report, chọn Save as, sau đó chọn Report:



Điền các tùy chọn, sau đó ấn Save để lưu:



Thông báo đã tạo thành công:

Các tùy chọn tương tự trong phần Dashboard ở bài trước.

Xem bài trước tại đường dẫn: http://securityzone.vn/t/splunk-7-x-fundamentals-part-1-module-10-report-and-dashboard.11838/





9.Add a Pivot to a Dashboard
Save Pivot dưới dạng Dashboard, chọn Save as, sau đó chọn Dashboard Panel:

Thêm vào 1 Dashboard mới(tùy chọn tương tự ở bài viết trước):




Thêm vào 1 dashboard đã có sẵn(tùy chọn tương tự ở bài viết trước):




Kết quả của dashboard sau khi thêm Pivot: