Criando um painel simples que monitora a acessibilidade de fontes no Splunk

No artigo anterior, examinamos o uso de painéis de dependência para criar visualizações convenientes em dashboards. Se você perdeu, siga o link: https://socprime.com/blog/using-depends-panels-in-splunk-for-creating-convenient-drilldowns/Muitas pessoas que começam a estudar Splunk têm dúvidas sobre o monitoramento da disponibilidade dos dados recebidos: quando foi a última vez que os dados vieram de uma fonte específica, quando os dados pararam de chegar ou quais fontes não estão disponíveis agora.
Assim, hoje faremos um dashboard simples com informações sobre a disponibilidade das fontes em nosso Splunk.

Como manter-se atualizado sobre a acessibilidade das fontes

1. Primeiramente, vamos criar um dashboard com o título ‘Disponibilidade de Fontes’:

2. Em seguida, fazemos uma solicitação de pesquisa para a construção da tabela estatística.
É necessário fazer uma solicitação de pesquisa para a tabela estatística em todos os índices dados (index=*): gostaríamos de buscar o último evento de cada host e fonte, para fazer isso usaremos ‘stats’ comando:index=* | stats max(_time) as last_time by host, source

‘last_time’ o campo nos mostra a última vez em formato de tempo Unix quando os eventos chegaram ao Splunk.

3. Agora adicionamos e calculamos variáveis ‘Minutos atrás’, ‘Horas atrás’, ‘Dias atrás’.
Para minutos:eval latency_minutes=round((now()-last_time)/60,0)Para Horas:eval latency_hours=round(latency_minutes/60,0)Para Dias:eval latency_days=round(latency_hours/24,0)

Nota: ‘round’ é usado para arredondar e obter um inteiro.Resultado:

4. Ok, agora vamos renomear campos e converter ‘last_time’ para o formato legível por humanos. Além disso, é necessário adicionar um campo de condição de gatilho: se latency_minutes for maior que 5, status ‘Desligado’, se for menos de 5 minutos –‘Ligado’:

5. Como resultado, vemos o próximo dashboard:Neste artigo, demonstrei como fazer uma solicitação de pesquisa simples para monitorar a acessibilidade das fontes. Usando este método, você pode determinar rapidamente qual fonte está ausente ou se tornou inacessível. Esta lógica também pode ser usada com outros tipos de dados, onde é necessário monitorar que o processo não travou e ainda está online. Em vez de fontes, você pode usar quaisquer outros eventos e campos para monitorar. Então, na próxima semana, vou demonstrar como mudar a cor de uma célula dependendo do valor para construir tabelas informativas.