本節書摘來自華章計算機《splunk智能運維實戰》一書中的第2章,第2.9節,作者 [美]喬史·戴昆(josh diakun),保羅r.約翰遜(paul r. johnson),德萊克·默克(derek mock),譯 宮鑫,康甯,劉法宗 ,更多章節内容可以通路雲栖社群“華章計算機”公衆号檢視。
在第1章導入的資料樣本中,其中一個包含了應用程式伺服器的應用程式日志。日志的splunk源類型是log4j,并且詳細記錄了應用程式響應使用者web請求時對背景資料做的調用。它還能讓我們了解記憶體的使用情況和其他與健康相關的資訊。我們尤其想跟蹤應用程式在處理使用者資訊需求時耗費時間的情況。
本節将通過編寫一個搜尋語句,來了解應用程式的運作情況。要做到這一點,需要分析資料庫的調用事務并制作過去一星期的最大、最小和平均事務持續時間的圖表。
做好準備
本節操作需要運作splunk enterprise伺服器,導入和第1章相同的樣本資料。我們已經很熟悉splunk搜尋欄和時間選擇器了。
如何操作
按照下列步驟制作過去一周應用程式使用性能的圖表:
登入splunk伺服器。
選擇“搜尋和報表”應用程式。
設定時間選擇器為“過去24小時”,在splunk搜尋欄輸入下列搜尋後單擊搜尋圖示或按enter鍵。
splunk傳回表格清單,詳細顯示過去24小時内,每6小時中資料庫事務持續時間的最大、最小和平均值。
結果雖然很棒,但以清單格式顯示很不形象。點選“可視化”标簽,會看到資料以柱狀圖(預設)的形式呈現。
點選圖表左上角的圖表類型連結(在“格式”連結旁邊)并鍊擇“折線圖”。splunk會用折線圖的形式清楚地展示資料,我們可以更直覺地看到最大、最小和平均水準。
單擊“儲存為”,選擇“報表”,儲存此次搜尋結果。将報表命名為cp02_application_performance并單擊“儲存”。在下一個頁面,單擊“繼續編輯”,回到搜尋。
工作原理
将搜尋以段的形式分開。
transaction是個很強勁的搜尋指令。使用這一指令時,一定要在需要的地方使用maxspan函數,這樣就能隻搜尋maxspan指定時間段内聚合的事務。
更多内容
本節使用了transaction指令。這是個非常有用,非常強大的功能,我們将在本書後面更深入地探讨它。
另參見