Creando un panel simple que monitorea la accesibilidad de fuentes en Splunk

En el artículo anterior, hemos examinado el uso de paneles dependientes para crear visualizaciones convenientes en los tableros. Si te lo perdiste, sigue el enlace: https://socprime.com/blog/using-depends-panels-in-splunk-for-creating-convenient-drilldowns/Muchas personas que comienzan a estudiar Splunk tienen preguntas sobre el monitoreo de la disponibilidad de los datos entrantes: cuándo fue la última vez que llegaron datos de una fuente en particular, cuándo dejaron de llegar los datos o qué fuentes no están disponibles ahora. Por lo tanto, hoy haremos un tablero simple con información sobre la disponibilidad de fuentes en nuestro Splunk.

Cómo mantenerse al día con la accesibilidad de las fuentes

1. Primero, vamos a crear un tablero con el título ‘Disponibilidad de Fuentes’:

2. Luego hacemos una solicitud de búsqueda para la creación de tablas estadísticas. Es necesario realizar una solicitud de búsqueda para la tabla estadística en todos los índices datos (index=*): nos gustaría buscar el último evento de cada host y fuente, para eso usaremos ‘stats’ comando:index=* | stats max(_time) as last_time by host, source

‘last_time’el campo nos muestra la última vez en formato de tiempo Unix cuando llegaron eventos a Splunk.

3. Ahora añadimos y calculamos variables ‘Hace minutos’, ‘Hace horas’, ‘Hace días’. Para minutos:eval latency_minutes=round((now()-last_time)/60,0)Para horas:eval latency_hours=round(latency_minutes/60,0)Para días:eval latency_days=round(latency_hours/24,0)

Nota: ‘round’ se usa para redondear y obtener un entero.Resultado:

4. Bien, ahora renombremos campos y convirtamos ‘last_time’ al formato legible por humanos. También es necesario agregar un campo de condición desencadenante: si latency_minutes es más de 5 el estado si ‘Apagado’, si es menos de 5 minutos –‘Encendido’:

5. Como resultado, vemos el siguiente tablero:En este artículo, demostré cómo hacer una solicitud de búsqueda simple para monitorear la accesibilidad de las fuentes. Usando este método, puedes determinar rápidamente qué fuente falta o ha dejado de estar disponible. Esta lógica también puede usarse con otros tipos de datos, donde es necesario monitorear que el proceso no se haya caído y todavía esté en línea. En lugar de fuentes, puedes usar cualquier otro evento y campo para monitorear. Así que, la próxima semana, voy a demostrar cómo cambiar el color de una celda dependiendo del valor para construir tablas informativas.