Можно ли сделать динамическую c спанк панель инструментов? - PullRequest
Новая
       21

Можно ли сделать динамическую c спанк панель инструментов?

0 голосов
/ 04 февраля 2020

Извините, если кто-то уже задавал этот вопрос, но так как я не нашел удовлетворительного ответа, то отправляю этот запрос.

Я новичок в Splunk. Просто хотел узнать, возможно ли то, что я пытаюсь сделать, или нет.

Я пытаюсь создать панель управления Splunk, в которой есть 3 панели. Я хочу передать результат одной панели в другую, где он может быть использован в запросе. Проще говоря, я хочу найти количество событий: во-первых, месяц от года (span = 1mon). Затем выберите месяц наибольшего числа и найдите день подсчета для этого месяца (span = 1d). С этого месяца я хочу выбрать день с наибольшим количеством, а затем найти час (промежуток = 1 час) с наибольшим количеством событий. Прямо сейчас я делаю весь этот процесс вручную.

  1. Найти месяц с максимальным количеством событий -> max_month
  2. Найти день с максимальным количеством событий из max_month -> max_day
  3. Найти час с максимальным количеством событий от max_day

Можно ли автоматизировать этот процесс с помощью панели инструментов, где он может автоматически выбирать максимальный месяц, день и час?

Я пытался использовать вложенный запрос, но не смог сделать какой-либо значительный прогресс.

1 Ответ

0 голосов
/ 07 февраля 2020

Если вы хотите передать значение с одной панели на другую панель, вам нужно определить токен и установить для результата поиска первой панели этот токен. Затем используйте этот токен на второй панели. См. https://docs.splunk.com/Documentation/Splunk/7.2.0/Viz/ContextualDrilldown. У них есть хорошие примеры. Ниже приводится тот, который 

<dashboard>
  <row>
    <panel>
      <table>
        <title>Event counts by sourcetype</title>
        <search>
          <query>index=_internal | stats count by sourcetype</query>
        </search>
        <drilldown>
          <set token="show_panel">true</set>
          <set token="selected_value">$click.value$</set>
        </drilldown>
      </table>
    </panel>
    <panel depends="$show_panel$">
      <event>
        <title>Recent events for $selected_value$</title>
        <search>
          <query>index=_internal sourcetype=$selected_value$ </query>
          <earliest>$earliest$</earliest>
          <latest>$latest$</latest>
        </search>
        <option name="count">5</option>
      </event>
    </panel>
  </row>
</dashboard>

Однако, лучше решить вашу проблему с помощью запроса. Чтобы помочь в дальнейшем, можете ли вы опубликовать вложенный запрос, который вы пробовали?

...