Erstellung eines einfachen Dashboards zur Überwachung der Erreichbarkeit von Quellen in Splunk

Im vorherigen Artikel haben wir die Verwendung des Depends-Panels untersucht, um praktische Visualisierungen in Dashboards zu erstellen. Wenn Sie es verpasst haben, folgen Sie dem Link: https://socprime.com/blog/using-depends-panels-in-splunk-for-creating-convenient-drilldowns/Viele Menschen, die beginnen, Splunk zu studieren, haben Fragen zur Überwachung der Verfügbarkeit eingehender Daten: wann die Daten das letzte Mal aus einer bestimmten Quelle kamen, wann die Daten aufhörten einzutreffen oder welche Quellen jetzt nicht verfügbar sind.
So werden wir heute ein einfaches Dashboard mit Informationen über die Verfügbarkeit von Quellen in unserem Splunk erstellen.

Wie man mit der Verfügbarkeit von Quellen auf dem Laufenden bleibt

1. Zuerst erstellen wir ein Dashboard mit dem Titel ‚Quellenverfügbarkeit‘:

2. Dann machen wir eine Suchanfrage zum Aufbau einer Statistik-Tabelle.
Es ist notwendig, eine Suchanfrage für die statistische Tabelle in allen Indizes Daten (index=*): Wir möchten das letzte Ereignis von jedem Host und jeder Quelle durchsuchen. Dafür verwenden wir ’stats‘ Befehl:index=* | stats max(_time) as last_time by host, source

‚last_time‘Feld zeigt uns das letzte Mal im Unix-Zeitformat, als Ereignisse in Splunk eingingen.

3. Jetzt fügen wir Variablen hinzu und berechnen sie ‚Minuten her‘, ‚Stunden her‘, ‚Tage her‘.
Für Minuten:eval latency_minutes=round((now()-last_time)/60,0)Für Stunden:eval latency_hours=round(latency_minutes/60,0)Für Tage:eval latency_days=round(latency_hours/24,0)

Hinweis: ‚round‘ wird zum Runden und Erhalten einer Ganzzahl verwendet.Ergebnis:

4. Ok, jetzt lassen Sie uns Felder umbenennen und ‚last_time‘ in ein menschenlesbares Format umwandeln. Außerdem ist es erforderlich, ein Trigger-Bedingungsfeld hinzuzufügen: wenn latency_minutes mehr als 5 Status, wenn ‚Aus‘, wenn weniger als 5 Minuten –‚Ein‘:

5. Als Ergebnis sehen wir das nächste Dashboard:In diesem Artikel habe ich demonstriert, wie man eine einfache Suchanfrage zur Überwachung der Zugänglichkeit von Quellen erstellt. Mit dieser Methode können Sie schnell feststellen, welche Quelle fehlt oder unzugänglich geworden ist. Diese Logik kann auch mit anderen Datentypen verwendet werden, bei denen es notwendig ist zu überwachen, dass der Prozess nicht abgestürzt ist und noch online ist. Anstelle von Quellen können Sie auch andere Ereignisse und Felder zur Überwachung verwenden. In der nächsten Woche werde ich demonstrieren, wie man die Farbe einer Zelle je nach Wert ändert, um informative Tabellen zu erstellen.