Splunk-pivot-and-datasets
Splunk-ピボットとデータセット
Splunkは、さまざまなタイプのデータソースを取り込み、リレーショナルテーブルに似たテーブルを構築できます。 これらは*テーブルデータセット*または単に*テーブル*と呼ばれます。 データやルックアップなどを分析およびフィルタリングする簡単な方法を提供します。 これらのテーブルデータセットは、この章で学習するピボット分析の作成にも使用されます。
データセットの作成
Splunk Datasets Add-onという名前のSplunkアドオンを使用して、データセットを作成および管理します。 Splunk Webサイトhttps://splunkbase.splunk.com/app/3245//details[https://splunkbase.splunk.com/app/3245//details。]からダウンロードできます。このリンクの詳細タブにある指示に従ってインストールします。 インストールが成功すると、 Create New Table Dataset という名前のボタンが表示されます。
データセットの選択
次に、 Create New Table Dataset ボタンをクリックすると、以下の3つのオプションから選択するオプションが表示されます。
- インデックスとソースタイプ-データ追加アプリを介してSplunkに既に追加されている既存のインデックスまたはソースタイプから選択します。
- 既存のデータセット-新しいデータセットを作成して変更したいデータセットを既に作成している場合があります。
- 検索-検索クエリを記述し、結果を使用して新しいデータセットを作成できます。
この例では、下の画像に示すように、データセットのソースとなるインデックスを選択します-
データセットフィールドの選択
上記の画面で[OK]をクリックすると、テーブルデータセットに最終的に取得するさまざまなフィールドを選択するオプションが表示されます。 _timeフィールドはデフォルトで選択されており、このフィールドはドロップできません。 フィールドを選択します: bytes、categoryID、clientIP および files 。
上記の画面で[完了]をクリックすると、以下に示すように、選択したすべてのフィールドを含む最終データセットテーブルが取得されます。 ここで、データセットはリレーショナルテーブルに似ています。 右上にある[名前を付けて保存]オプションを使用して、データセットを保存します。
ピボットの作成
上記のデータセットを使用して、ピボットレポートを作成します。 ピボットレポートには、別の列の値に対する1つの列の値の集計が反映されます。 つまり、1つの列の値が行になり、別の列の値が行になります。
データセットアクションを選択
これを実現するには、まずデータセットタブを使用してデータセットを選択し、そのデータセットの[アクション]列から*ピボットで視覚化*オプションを選択します。
ピボットフィールドを選択する
次に、ピボットテーブルを作成するための適切なフィールドを選択します。 split columns オプションでカテゴリIDを選択します。これは、値がレポートで異なる列として表示されるフィールドであるためです。 次に、 Split Rows オプションでFileを選択します。これは、値が行で表示されるフィールドであるためです。 結果には、ファイルフィールドの各値の各categoryid値の数が表示されます。
次に、ピボットテーブルをレポートまたは既存のダッシュボードのパネルとして保存して、後で参照できるようにします。
