歡迎光臨 Splunk 的入門導覽!

Splunk 是一個 IT 搜尋引擎. Splunk 可以透過檢索, 搜尋, 通知及報表等方法分析資訊系統資料, 讓您即時地掌握您的軟體管理, 系統維運, 系統安全及規範等狀況. 舉凡系統記錄檔, 系統量測記錄, 應用軟體, 設定檔等資料, Splunk 都能予以分析處理.

請點選下列各項主題, 一起來體驗 Splunk!

緒言

Splunk 的使用者介面擁有許多吸引人的特色, 請跟著下列的主題來了解如何操作及管理您的 Splunk.

應用(App) -- 您現在正在使用的就是一個應用(App).

Splunk 是由各種不同的應用(App)所組成. Splunk 的各式應用都是透過視頁(view), 組合視頁(dashboard)和設定檔等構件, 讓您可以從不同的面向來分析及呈現系統資訊. 現在, 您正在使用的就是一個應用 -- Splunk 的 "Getting Started" 應用. Splunk 提供了多種應用供您選用, 比方說, Splunk 特別為您目前所使用的電腦作業系統設計了一個專屬應用. 您在佈建 Splunk 時可以將自製應用或 Splunk 內建的應用一併包括在內. Splunk 的預設包裝裏, 內建有 "Search" 應用, 在入門導覽裏所提供的所有範例, 就是以 "Search" 應用為範本. 為便於您的操作及閱讀, "Search" 應用將透過跳出視窗來呈現.(若您使用的瀏覽器是 Firefox, 則會呈現於新的頁籤).

應用切換

請使用本頁右上角的應用(App)下拉選單來切換到其他應用:

screenshow_uploadLocal

若您想知道目前 Splunk 已安裝了那些應用, 您可以點選本頁右上角的應用選單裏的 "Launcher" 選項前往 "Launcher" 應用. 這樣的操作動作, 會將您帶離入門導覽, 但您還是可以透過 "Launcher" 或應用選單點選 "Getting Started" 返回.

曾經使用過 Splunk 嗎? 想找到您熟悉的功能?

若您曾使用過 Splunk, 您或許就想看看搜尋應用. 您可以點選本頁右上角的應用選單裏的 "Launcher" 選項前往 "Launcher" 應用, 然後從已安裝應用清單裏點選 "Search" 應用.

管理您的 Splunk

大部份的 Splunk 管理工作已可透過 Splunk 的網頁來完成. 但, 其中有些設定是只有管理者權限的使用者才可以異動的. 若您無法存取本處所討論到的一些設定, 那表示您可能沒有權限進行那些操作.

使用 Splunk 的管理畫面

您可以使用管理畫面來管理 Splunk 的裝設資料及應用. 絕大部份的設定都可經由 Splunk 管理畫面來異動. 請點選本頁右上角的管理(Manager)連結, 即可前往 Splunk 管理畫面:

screenshow_uploadLocal

使用 Splunk 的工作畫面

您可以使用工作畫面來管理搜尋指示. 在 Splunk, 一個搜尋的執行皆被視為一個工作. 請點選本頁右上角的工作(Jobs)連結來檢視及監控在此系統執行的所有搜尋指示:

screenshow_uploadLocal

安裝更多應用

若您想瀏覽或下載更多的應用, 您可以前往 "Launcher" 應用, 然後點選[更多應用資訊]頁籤.

您也可以自行設計應用, 相關資訊請參閱 ${_("Developer Manual")}.

資料索引

只要機器能產生的資料, Splunk 就有辦法能檢索這些資料. 沒錯, 就是這樣 -- 任何的資料, 無論是來自那裏或是什麼樣的格式, Splunk 就是可以為這些資料編建索引, 不需要透過任何額外客製的解譯程式, 通訊連結程式, 或是資料橋接程式. 您可以傳餵任何資料給 Splunk, 包括 Unix 的系統記錄檔, 網路設備記錄檔, 微軟視窗系統的事件記錄檔, 客製應用系統的記錄檔, 甚至是設定檔以及系統量測記錄資料等, 也就是說, 整個維運最後將一目了然於您眼下.

什麼是系統資訊資料? 請點這取得相關資訊.

Splunk 提供了多種方法讓您可以將資料匯入.

上載本地端資料檔

您可以透過 Splunk 的管理畫面, 上載本地端機器的檔案.

  1. 點選[管理]連結 » 資料匯入 » 檔案及目錄.
  2. 點選[新增]按鈕.
  3. 選擇"從本地端上傳檔案(Upload a local file)".
  4. screenshow_uploadLocal
  5. 請依該頁面指示設定其他選項.

即時監測檔案異動

設定 Splunk 讀取那些正被其他程式或設備寫入資料的檔案. 這讓您可以即時監測應用系統的記錄檔, 包括 J2EE, 或 .Net 應用系統, 網站存取記錄等等. Splunk 會持續在資料進入這些檔案或目錄時進行索引編建, 而這些檔案或目錄當然要能為目前您所使用的 Splunk 主機能夠存取得到.

  1. 點選[管理]連結 » 資料匯入 » 檔案及目錄.
  2. 點選[新增]按鈕.
  3. 選擇"偵測檔案或目錄資料異動(Monitor a file or directory)".
  4. 請輸入欲偵測檔案或目錄的全路徑. 例如, 若為微軟視窗系統, 您可以輸入: c:\apache\apache.error.log 來偵測一個本地端檔案, 或 \\hostname\apache\apache.error.log 來偵測一個在遠端主機上的檔案. 若為 Unix 系統, 可用 /var/log 這樣的格式來輸入以偵測一個本地端檔案, 或 /mnt/www01/var/log 來偵測一個遠端主機上的目錄.
  5. 請依該頁面指示設定其他選項.

網路通訊埠接收資料

使用這個方式接收透過 TCP 或 UDP 通訊埠傳送的原始資料. 比方說, 設定 Splunk 接收 514 通訊埠來截收系統記錄(syslog)資料.

  1. 從 Splunk [管理]畫面點選"資料匯入"連結.
  2. 點選 UDP 該列的 "新增資料"連結, 來新增 UDP 通訊埠資料滙入項目.
  3. 點選 TCP 該列的 "新增資料"連結, 來新增 TCP 通訊埠資料滙入項目.
  4. 設定 Splunk 的接收通訊埠.
  5. 請依該頁面指示設定其他選項.

應用匯入資料設定

Splunk 標準安裝裏, 已為電腦作業系統事先內建了專屬應用, 如微軟視窗或 *nix (Unix, Linux). 這些作業系統專屬應用讓您可以監控系統效能, 事件記錄檔, 以及檔案系統和登錄異動. 您可以透過應用的啟用來設定這些應用的匯入資料. 您也可以從 SplunkBase 下載其他適用的應用, 好比說 Blue Coat.

切換並啟用 "Windows" 或 "*NIX" 應用:

  1. 點選 Splunk 網頁右上角的[應用]選單.
  2. 從下拉選單點選 "Launcher" 選項. 顯示 "Launcher" 應用的畫面.
  3. 選擇 "Windows" 或 "*NIX" 應用 (若您正在使用微軟視窗系統, 那麼您將只看到 "Windows" 應用; 若您正在使用的是 Unix 平台, 您將只有看到 "*NIX" 應用), 請點選 "啟動此應用" 按鈕.
  4. 若應用尚未被啟用, 請點選[啟用]按鈕來啟用它.
  5. 請依指示步驟來設定, 使其能適用於您的系統.

其他資料匯入方式

除了上述的方法外, 尚有其他方法讓您可以將資料匯入 Splunk. 幾個較普遍使用的方法如下:

指令碼匯入(Scripted input)

建立一個${_("指令碼匯入")}來處理特殊專有資料. 指令碼匯入對於匯集指令列指令所產出的資訊是很有用的, 比方說, 收集 vmstat, iostat, netstat, top 等指令所產出的資訊. 透過指令碼匯入您可以藉由 APIs 或其他遠端資料介面或訊息佇列來匯收資料, 也可以從現行系統產生的系統量測記錄及狀態資料, 以及系統狀態指令, 如 vmstat, iostat 等等來取得資料. 在 SplunkBase 上很多的應用就是以指令碼匯入來收集特定應用系統的資料. 透過 Splunk 管理畫面, 您即可進行指令碼匯入的設定.

檔案系統異動偵測

想知道您的檔案系統有什麼異動嗎? 您可以啟用${_("檔案系統異動偵測")}, 一旦有異動發生時, Splunk 會主即通知您. 這個方法可以監測系統關鍵檔案, 及設定檔等的異動, 符合監理規範的要求, 同時也能滿足系統安全及維運上的考量, 用以偵測是否有影響系統層面或未經授權的異動發生.

分散式架構的資料收集

您了解如何從一個分散式系統架構將資料匯收於 Splunk 嗎? 直接讓一羣應用或網站伺服器登入系統? 我們可以將 Splunk 裝設成一台簡易型的資訊傳收器, 即時地接收數十台或數百台甚至數千台伺服器的資料, 然後送到一個集中的 Splunk 索引主機. 透過 ${_("Splunk 資訊傳收器")} 將其他系統的資料送到 Splunk. 我們可以透過 Splunk 管理畫面的資料傳收設定來建構這個架構.

搜尋

當您將資料匯入了 Splunk, 您即可使用 "Search" 應用來探究系統安全事件, 軟體檢修記錄, 伺服器及網路問題, 或主動地對系統和使用者作業進行檢視.

隨想隨搜

搜尋任何您認為會於資料中出現的字串.

  1. 連結到 "Search" 應用.
  2. 直接於搜尋列輸入條件. 若您想探查一個錯誤, 那麼您可以輸入搜尋條件:
  3. screenshow_uploadLocal
  4. 在您輸入的條件裏加入布林邏輯表示式. 假設您想看看除了網頁操作之外所發生的錯誤, 那麼您可搜尋:
  5. screenshow_uploadLocal
  6. 使用通配字元來輸入條件. 比方說您想找找有沒有嘗試登入失敗的情況. 在訊息中, 多以 "failed" 或 "failure" 來說明失敗, 那麼您的搜尋條件可以輸入為:
  7. screenshow_uploadLocal

互動式結果篩選

您可以像使用時間軸那般地互動方式來操作及瀏覽搜尋結果. 在這個單元, 您將體驗如何只要左點滑鼠一下就能新增, 移除搜尋條件, 或設定除外條件.

  1. 連結到 "Search" 應用.
  2. 輸入任意條件來搜尋資料.
  3. 移動您的滑鼠到搜尋結果顯示區, 請注意當滑鼠滑過那些字或詞組時, 會以顏色像螢光筆加在其上, 那表示您可以將這些字或詞組加入您的搜尋條件.
  4. 在您的搜尋結果顯示區點選一個字詞, 這個字詞會以不同顏色標示出來, 並附加到您原來的搜尋條件且顯示於搜尋列, 然後, 先前顯示於搜尋結果的一些資料, 將因不符合此附加條件而被剔除.
  5. 當您再用滑鼠點一下搜尋結果顯示區裏已經有顏色標示的字詞時, 此顏色標示會消失, 同時, Splunk 會將此字詞從您的搜尋條件移除並更新搜尋結果.
  6. 此外, 您可以指定除外條件, 將符合除外條件的資料剔除. 移動滑鼠到那個字詞, 然後按 alt-click (若為視窗系統, 則按 ctrl-click), Splunk 會將這些字詞連同布林邏輯的 "NOT" 運算子直接附加到您的搜尋條件並更新搜尋結果.

欄位搜尋

隨想隨搜功能雖簡便又強大, 但通常所獲得的結果可能不是您想要的. 舉例來說, 您想要將 HTTP 200 的事件資料排除, 若您輸入除外條件 "NOT 200", 您可能同時也將您想要的資料排除掉了. 比如說, 一個來自 IP 位址內有 "200" 的 "HTTP 503" 的事件資料就會因符合除外條件而被剔除.

當 Splunk 在為原始資料裏的字詞編建索引時, Splunk 會依欄位名稱及欄值組, 標頭, 或其他意義明顯的資訊來新增欄位. 比方說, Splunk 會自動地增加資料來源主機, 來源和來源類別等欄位. Splunk 也能辨識資料裏的其他資訊, 如 IP 位址, HTTP 狀態碼等等. 使用者亦可自訂欄位, 您可以在"知識物件"單元找到這方面的資訊.

  1. 連結到 "Search" 應用.
  2. 以搜尋網站活動為例:
  3. screenshow_uploadLocal
  4. 注意在搜尋結果左側的欄位選單, 這些欄位都是 Splunk 自動解析產生的.
  5. screenshow_uploadLocal

    在搜尋結果區所顯示的欄位皆列在 "已選欄位(Selected fields)" 標頭下. 您可以自行增加欲顯示的欄位. 其他 Splunk 自動解析出但未顯示於搜尋結果的欄位則列示在 "其他相關欄位" 的標頭下.

  6. 欄位選單裏的每一個欄位旁顯示著一個數字, 表示在搜尋出來的資料中, 該欄位的欄值有多少個相異值存在. 您可以點選任一欄位名稱來查看該欄位出現率最高的欄值為何, 然後再從中點選任一欄值, 將其當作一個附加條件加入您原來的搜尋條件內.
  7. .
  8. 若您正在搜尋的是網站活動, 您可以點選 "挑選欄位(Pick fields)", 從其跳出的視窗內選擇 "status" 欄位, 請將其加入欄位選單中.
  9. 請注意, 'status' 欄位所表示的是 HTTP 狀態碼: 200, 503, 404, 等等. 現在, 您可以使用這個新增的知識欄位來搜尋或排除某些特定欄值的資料. 比方說, 您想找出所有存取網頁失敗的事件, 搜尋條件可輸入為:
  10. screenshow_uploadLocal
  11. 您也可以使用比較運算子( >, <, >=, <=): 比方說, 想找出狀態碼小於 300 的所有事資料, 搜尋條件就可輸入為:
  12. screenshow_uploadLocal

時間軸(Timeline)操作

時間軸是以視覺圖示來表示每一個時間點所發生的事件數. 藉此, 您可以使用時間軸(Timeline)來突顯事件的發生模式, 或探究事件活動的高低峰值.

  1. 連結到 "Search" 應用.
  2. 試著搜尋 'error', 然後注意搜尋列正下方時間軸的變化.
  3. screenshow_uploadLocal
  4. 當時間軸依搜尋結果更新時, 您或可注意到事件群集發生或事件發生的模式. 在時間軸裏所呈現的頂端或低點, 可能分別表示著系統活動的高峰期, 也可能是伺服器的正好停止服務.
  5. 請在時間軸上點選某一點, 然後用滑鼠拖曳越過幾個柱狀來到另一個點. 您的搜尋結果顯示區將隨您所選的這個時間區間更新, 只顯示此區間內所發生的事件.
  6. screenshow_uploadLocal
  7. 請點選時間軸上的某一個柱狀物, 此時, 搜尋結果顯示區將只顯示您所點選的時間點所發生的事件.
  8. screenshow_uploadLocal

搜尋助手

搜尋助手是一個產品內建快速參考資料, 供使用者於建構搜尋語法時用. 它提供了搜尋指令詳細說明, 包括使用範例, 以及建議其他可使用的指令.

  1. 連結到 "Search" 應用.
  2. 您可以點選搜尋列下緣的綠色箭頭來開啟搜尋助手.
  3. screenshow_uploadLocal
  4. 若搜尋列內尚未輸入任何指令, 搜尋助手會簡要地介紹 Splunk 搜尋功能以及說明如何建構一個搜尋語法. 基本上, 搜尋助手會依所輸入的搜尋指令來提供指令參考資料.
  5. 搜尋助手的左欄顯示的是搜尋指令簡單的說明及使用範例.
  6. 而它的右欄顯示的是您曾使用過的搜尋指令, 以及列出目前搜尋列上的搜尋指令最常併用的指令為何.

知識物件

Splunk 在處理一個從未搜尋過的資料時, 能夠自動地從資料中擷取出有意義的資訊, 讓您可以直接地新增系統知識. 您可在您的資料內新增有關事件, 欄位, 交易, 模式, 及統計等知識, 同時, 也可給予這些資訊識別碼, 名稱或標記.

Splunk 在執行搜尋時, 才會參照這些知識資訊. 所以, 不管何時只要您需要的時候都可新增欄位或事件類型, 而且不需因新增了這些知識資訊而要重新編建索引. 來, 一起來看看如何搜尋某個特定使用者的所有相關資料, 以及即時地取得某一特定作業的統計資料.

事件類型(eventtype)

搜尋, 主要的目的在於過濾掉不想要的資料, 相對地, 被搜尋出來的資料通常都具有某些共同特性. 您可以給予這些搜尋出來的資料一個共同名稱, 或將其訂成一種"事件類型". 您所訂定的"事件類型"會加存於 eventtype 這個欄位, 這表示日後您可以直接用 eventtype 這個欄位將這些資料再度搜尋出來. 以下的步驟將示範如何為已搜尋出來的結果訂定"事件類型", 然後利用它再將資料搜尋出來.

假設您會經常性地搜尋及檢視 SSH 和防火牆的訊息記錄, 看看是不是有諸如 sshd 登入或防火牆拒絕等狀況發生, 您可以將這些搜檢出來的訊息儲存成一個事件類型. 這些訊息的描述或許不是太容易讓人了解, 您可以在儲存事件類型時, 透過名稱命名, 將訊息欲表達的資訊描述的更清楚.

  1. 連結到 "Search" 應用.
  2. 假設您會定期地檢視 SSH 的訊息記錄, 查看是否有人意圖嘗試登入, 您可以將檢視出來的結果儲存為一種事件類型. 首先, 執行一個搜尋, 以搜尋 SSH 登入為例:
  3. screenshow_uploadLocal
  4. 在搜尋完成後, 請從[執行]下拉選單, 選擇 "儲存成事件類型..." 選項, 出現儲存事件類型(Save Event Type)的視窗.
  5. screenshow_uploadLocal
  6. 請依畫面指示輸入事件類型的名稱. 比方說您可命名為 "sshlogin". 若有需要, 您可以在這個畫面修改您的搜尋指令. 您也可以選擇性地於標籤欄對此事件類型加註說明, 後面我們會進一步地詳細討論這個功能. 完成輸入或修改後, 請點選"儲存"按鈕.
  7. 您也可以將其他類型的 SSH 訊息訂定成事件類別, 如登出或逾時斷線等. 現在, 將 SSH 的登入訊息搜尋出來:
  8. screenshow_uploadLocal
  9. 假設您已為 SSH 訊息訂定了事件類型, 例如: SSH 的登出訊息存成 sshlogout 事件類型, 而逾時斷線則存成 sshtimeout 事件類型. 接著您可以輸入如圖示指令, 快速地將 SSH 相關的所有事件活動搜尋出來:
  10. screenshow_uploadLocal

欄位定義

Splunk 在編建資料索引時, 會自動地分析摘錄出知識資訊. 您可以自行新增知識, 任何時候只要有需要時都可以, 而且, 知識新增後並不需重新編建資料索引. 這個單元將示範如何使用互動式欄位定義功能來擷取及儲存新欄位, 建立新知識.

  1. 連結到 "Search" 應用.
  2. 請以 host (主機), source (資料源)或 sourcetype (來源類別)欄位進行搜尋. 任何事件的欄位定義, 僅會作用於其所指定的主機, 資料源, 或來源類別.
  3. 從您的搜尋結果顯示區選擇一筆事件資料.
  4. 請移動滑鼠到該筆事件資料的時間欄, 點選下方的小箭頭, 出現一選單.
  5. 請選擇"欄位定義(Extract Fields)"選項來開啟互動式欄位定義視窗.
  6. screenshow_uploadLocal
  7. 請依頁面指示輸入資料. 您可藉此功能新增使用者名稱, 來源 IP 位址, 和目的 IP 位址等欄位.

欄位標記

標記功能讓您可以針對搜尋結果中某欄位有相同欄值的事件資料進行分組歸類. 您可以為欄位(如, eventtype, host, source, 或 sourcetype)的某一欄值給予註記, 比方說, 為不同的主機(host 欄位所存的各主機名稱)註記其所提供的服務名稱, 或是標註該主機所遵行的法規規範, 如PCI.

概括而言, 您可以將標記用來:

  • 協助您追查編碼型式的欄值, 像 IP 位址 或 ID 編號, 您可以使用標記來歸類標示其所代表的實際地點或名稱.
  • 使用一個標記將多個不同欄值組織起來, 那麼您就可用很簡單的搜尋指令找到符合這些欄值的資料.
  • 使用多個標記來註記特定欄位, 反應出資料不同面向的特性, 因而您可以直接地以標記來搜尋資料, 很快地篩選出您想要的結果.

使用標記搜尋的方式有二, 搜尋所有事件, 或只搜尋某一欄位找到欲搜尋的標記.

  1. 若您想找出那些事件資料中, 有欄位被標記為 "deny" 者, 搜尋指令可輸入如下:
  2. screenshow_uploadLocal
  3. 若您僅想找出那些事件資料中, "eventype" 欄位被註記為 "deny" 者, 搜尋指令可輸入如下:
  4. screenshow_uploadLocal

了解更多 Splunk 的知識物件

Splunk 還有很多的知識物件值得您探索利用, 讓 Splunk 能有效並擴大資料的運用, 滿足您企業經營上的要求. 您可以參閱 ${_("知識管理手冊(Knowledge Manager manual)")}, 對您未來不時需要進行的系統優化, 維護, 或 Splunk 的擴充等工作將有很大的幫助.

知識管理手冊將告訴您:

  • 如何管理及維護 Splunk 的知識物件, 如事件資料, 事件類型, 欄位, 來源類別, 欄位標記, 以及交易等.
  • 欄位運用的最佳示範, 包括查閱及別名設定.
  • 將事件在概念上劃分及歸納成交易時, 應採取的對策為何.

監測與通知

當您使用 Splunk 找出並確定了系統問題之後, 您可以使用 Splunk 的監測及通知功能, 讓這些問題再度發生時, 能即使地通知到您. 請排程執行搜尋, 並設定這些已排程的搜尋, 在搜尋結果符合您所設定的條件時, 能發出通知給您. 注意: 此功能未包含於 Splunk 的免費版本. 若您現在使用的是 Splunk 企業試用版, 在試用期滿後您將無權使用此功能.

搜尋排程

  1. 請新建一個搜尋, 能夠產生您想收到通知的搜尋結果, 如伺服器故障, 網路入侵等.
  2. 在搜尋完成後, 請點選時間軸上方狀態列的 "儲存成搜尋指示(Save search)" 功能:
  3. screenshow_uploadLocal
  4. 請在搜尋指示視窗填入基本搜尋資訊.
  5. 接著, 勾選"搜尋排程"選項進行排程相關設定(Schedule this search):
  6. screenshow_uploadLocal
  7. 請依頁面指示進行設定.

通知設定

一旦您完成了搜尋的排程, 即可設定通知.

  1. 請設定通知條件, 當條件符合時, Splunk 即發出通知給您.
  2. screenshow_uploadLocal
  3. 然後, 設定通知方式, 可設定一種以上. 若您想收到郵件通知, 請確認您的 Splunk 伺服器上的郵件發送機制(或其他郵件伺服器)已經啟動.

報表與分析

Splunk 內建的視覺化工具提供了豐富的報表選項協助您建立報表. 請直接從您的搜尋結果產生一個簡單的 "最常現值時序圖" 報表. 您也可以使用報表編輯器來定義及編排出精緻的圖表, 或者使用 Splunk 強大的統計轉換指令來定義報表. 最後, 您可以很快的新建一個組合視頁來與其他使用者分享這些設計很棒的報表.

  • 建立一個簡單的報表
  • 使用報表編輯器
  • 使用報表統計指令
  • 預視報表
  • 建立組合視頁
  • 建立一個簡單的報表

    在您完成一個搜尋後, 您可以很快地依搜尋結果各欄值產生基本報表

    1. 連結到 "Search" 應用.
    2. 請任意執行一個搜尋, 或產生任何搜尋結果是您正想出表的.
    3. 當搜尋完成後, 請於側欄區點選一個您想產出報表的欄位. 比方說, 若您想產出 IP 位址報表, 即可點選 "IP address" 欄位.
    4. screenshow_uploadLocal
    5. 此時會出現一個跳出視窗, 顯示您所點選欄位的資料. 您可以依各欄產出如 "平均值時序圖" 或 "最常現值時序圖"等報表.
    6. screenshow_uploadLocal
    7. 這時報表編輯器會出現在另一個獨立視窗, 依搜尋出來的事件資料產出圖表. 在報表編輯器, 您可以重新編排報表, 或儲存, 或列印, 或進行其他報表操作.

    使用報表編輯器

    啟動報表編輯器來產生及編排您的報表.

    1. 連結到 "Search" 應用.
    2. 請任意執行一個搜尋,或搜尋結果中有欄位是您想出表的.
    3. 請點選時間軸上方狀態列的 "產生報表(Build report)" 連結, 於一個新視窗啟動報表編輯器. (您不需要等到搜尋完成後才去啟動報表編輯器).
    4. screenshow_uploadLocal
    5. 報表編輯器開啟時顯示的是 "報表內容定義" 畫面. 請使用這個頁面所提供的下拉選單來設定您的報表參數. 首先是選擇報表類別, 請注意您所選的報表類別將會連動您後續報表內容需設定的選項.
    6. 請按[下一步]按鈕: 當您完成報表內容定義後可選按此鈕開始編排報表. Splunk 會將您導向"報表編排(Format Report)"的畫面, 此時, 呈現的內容是依您於 "報表內容定義" 畫面的選項設定而產生的初稿.
    7. screenshow_uploadLocal
    8. 請點選 "報表編排(Formatting options)" 來修改報表的格式. 舉例來說, 假設 Splunk 所給的初稿是直條圖, 而您覺得改成區域堆疊圖看起來比較好, 可於此調整. 這裏提供了多項編排選項, 何不試試給個有創意的圖表標題, 改變圖例位置, 或調整其他選項.
    9. screenshow_uploadLocal
    10. 這樣, 您就完成了一個報表的編輯! 現在, 您可以儲存報表, 或將結果匯出到一個檔案, 或列印, 或是取得搜尋結果的 URL 將這個報表分享給其他公司同事.

    使用報表統計指令

    當您使用報表編輯器裏的下拉選單來定義報表時, 您會發現 Splunk 把產生報表所需的報表統計指令更新在報表編輯器的搜尋指令欄. 這個單元將解釋如何直接於搜尋列使用報表統計指令.

    注意: 下方所舉的搜尋範例, 使用的是 Splunk 的內部索引檔, 只有具有管理者權限的使用者才可以存取.

    1. 連結到 "Search" 應用.
    2. 請以任意條件搜尋您的資料.
    3. 請在您的搜尋條件後加上 "|" 符號以及一些基本報表統計指令. 比方說, 產生一個簡單報表顯示 Splunk 內部索引檔內, 來自那五個資料源的資料量最多:
    4. 請點選狀態列上的"顯示報表"連結, Splunk 將依您於報表編輯器所設定的報表內容來產生圖表, 若有需要. 您可調整報表的編排.
    5. 現在, 您可嘗試些更複雜的報表. 這個報表將依據系統所收到的資料總 KB 數, 依序顯示資料量最多的前五名來源類別:
    6. 若想知道更多 Splunk 的報表指令, 請參閱${_("使用手冊(User Manual)")}.

    預視報表

    當您在產出一個報表時, Splunk 能夠在您搜尋執行中就可即時顯示報表當時的執行狀況. 這個功能特性節省了您的時間, 特別是搜尋長期間內的資料時. 請注意, 在您使用報表統計指令時, 報表預視功能是預設勾選的. 那麼, 就來試試選擇長時間區間條件來產生報表.

    1. 連結到 "Search" 應用.
    2. 於搜尋列輸入一個報表統計指令.
    3. 在報表執行時, 您即可於搜尋結果區看到處理的情況及進度.
    4. screenshow_uploadLocal
    5. 若您對目前為止所預視的報表產出不滿意, 想提前修改指令, 您只要點選"取消"按鈕停止報表的執行, 然後修改您的搜尋字串.

    建立組合視頁(Create new dashboard)

    透過組合視項(dashboard)的建立, 將搜尋及報表嵌入網頁讓使用者可以操作使用, 這讓您資訊豐富且有用的報表可以分享給其他使用者調閱. 如何做呢? 您唯一要做的就是事先準備好您想要顯示在組合視頁上的搜尋指示.

    1. 連結到 "Search" 應用.
    2. 於[執行(Actions)]下拉選單, 點選"新增組合視頁(Create new dashboard)"選項.
    3. screenshow_uploadLocal
    4. 此時, 出現 "新增組合視頁" 的視窗. 請給組合視頁一個短名作為組合視頁的辨識代號, 以及一個長名作為組合視頁的顯示名稱. 輸入後, 請按[建立]按鈕.
    5. 一開始, 您會看到一個空的組合視頁. 請點選 "編輯組合視頁" 的連結來開啟編輯視窗.
    6. 選擇視格的樣式和搜尋指示, 然後選按 [新增視格(Add panel)] 按鈕將視格加入組合視頁.
    7. 您可以選按 "編輯視格(Edit panel)" 連結來更改視格的標題, 樣式, 或它的搜尋內容.
    8. 請重覆前兩個步驟在您的組合視頁上加入更多的視格. 您可以拖曳這些視格到您想要的位置, 來編排組合視頁.
    9. 這樣, 您就完成了一個組合視頁的建立! 請關閉編輯視窗, 看看組合視頁呈現的結果. 若您覺得還有些地方需要修改, 可於本頁上方的[執行]選單, 點選 "編輯組合視頁(Edit dashboard)..." 選項來進行調整.

    其他

    想知道更多 Splunk 的功能及如何使用它們嗎? 此處我們提供了一些 Splunk 線上文件的連結, 供您參考.