Creare una dashboard semplice che monitora l’accessibilità delle fonti in Splunk

Nell’articolo precedente, abbiamo esaminato l’uso dei pannelli dipende per creare visualizzazioni convenienti nei dashboard. Se te lo sei perso, segui il link: https://socprime.com/blog/using-depends-panels-in-splunk-for-creating-convenient-drilldowns/Molte persone che iniziano a studiare Splunk hanno domande sul monitoraggio della disponibilità dei dati in ingresso: quando è stata l’ultima volta che i dati sono arrivati da una particolare fonte, quando i dati hanno cessato di arrivare o quali fonti non sono disponibili ora.
Pertanto, oggi faremo un semplice dashboard con informazioni sulla disponibilità delle fonti nel nostro Splunk.

Come rimanere aggiornati sulla disponibilità delle fonti

1. Per prima cosa, creiamo un dashboard con il titolo ‘Disponibilità delle Fonti’:

2. Poi facciamo una richiesta di ricerca per costruire la tabella statistica.
È necessario fare una richiesta di ricerca per la tabella statistica in tutti gli indici data (index=*): vogliamo cercare l’ultimo evento da ogni host e fonte, per farlo useremo ‘stats’ comando:index=* | stats max(_time) as last_time by host, source

‘last_time’ il campo ci mostra l’ultima volta nel formato di tempo Unix quando gli eventi sono arrivati in Splunk.

3. Ora aggiungiamo e calcoliamo le variabili ‘Minuti fa’, ‘Ore fa’, ‘Giorni fa’.
Per minuti:eval latency_minutes=round((now()-last_time)/60,0)Per Ore:eval latency_hours=round(latency_minutes/60,0)Per Giorni:eval latency_days=round(latency_hours/24,0)

Nota: ‘round’ è usato per arrotondare e ottenere un numero intero.Risultato:

4. Ok, ora rinominiamo i campi e convertiamo ‘last_time’ in un formato leggibile. Inoltre, è necessario aggiungere un campo di condizione di trigger: se latency_minutes più di 5 stato se ‘Off’, se meno di 5 minuti –‘On’:

5. Di conseguenza, vediamo il seguente dashboard:In questo articolo, ho dimostrato come fare una semplice richiesta di ricerca per monitorare l’accessibilità delle fonti. Utilizzando questo metodo, puoi rapidamente determinare quale fonte manca o è diventata non disponibile. Questa logica può essere utilizzata anche con altri tipi di dati, dove è necessario monitorare che il processo non sia crashato e sia ancora online. Invece di fonti, puoi usare qualsiasi altro evento e campo per il monitoraggio. Quindi, la prossima settimana, ho intenzione di dimostrare come cambiare il colore di una cella a seconda del valore per costruire tabelle informative.