本節書摘來自華章計算機《splunk智能運維實戰》一書中的第3章,第3.8節,作者 [美]喬史·戴昆(josh diakun),保羅r.約翰遜(paul r. johnson),德萊克·默克(derek mock),譯 宮鑫,康甯,劉法宗 ,更多章節内容可以通路雲栖社群“華章計算機”公衆号檢視。
如之前各個章節所示,可以通過建立可視化圖表來擷取大量資訊,這些圖表可以總結目前應用程式狀态,分析性能資料随時間的變化,或者比較各個值的關系。然而,如果想識别那些零星時間或随機時間點上偏離主體的離散事件,應該怎麼做呢?當觀看柱狀圖、單值計量器和餅圖時,這些事件可能無法被正确地反映,因為相對大多數計算,它們就像雷達遠處的一個光點。然而有時候這些離散事件能訓示問題的存在。
在本節中,我們将寫一個非常簡單的splunk搜尋來标繪web請求資料的一些元素,将其用清單的形式呈現。之後将用散點圖形象地呈現這些值。
做好準備
要進行本節操作,我們需要運作splunk enterprise伺服器,導入和第1章相同的樣本資料。你已經很熟悉splunk搜尋欄、時間選擇器和“可視化”标簽了。雖然不強制要求,但最好先完成之前所有章節的學習。
如何操作
按照下列步驟使用散點圖按照大小和響應時間來辨別離散的請求:
登入splunk伺服器。
選擇預設的“搜尋和報表”應用程式。
設定時間選擇器為“過去24小時”,在splunk搜尋欄輸入下列搜尋,然後單擊放大鏡圖示或按enter鍵。
splunk為每個事件傳回method、kb和response字段的值的清單。
點選“可視化”标簽,然後從可視化類型下拉清單選擇“散點圖”來使用散點圖呈現資料。會看到正常活動的聚合點和一些遠離主體的離散值。
單擊“儲存為”,選擇“報表”,儲存此次搜尋結果。将報表命名為cp03_discrete_requests_size_response,單擊“儲存”。在下一頁,單擊“添加至儀表盤”。
我們現在将它添加到website monitoring儀表盤。選擇“現有”标簽,從下拉菜單中選擇website monitoring儀表盤。在“面闆标題”字段,輸入discrete requests by size and response,選擇由“報表”支援面闆,單擊“儲存”。
下一頁會确認儀表盤已經建立成功并且已經添加了面闆。可點選“浏覽儀表盤”進行檢視。散點圖可視化圖表位于儀表盤之前所添加面闆的下方。
工作原理
讓我們把搜尋一段段分開。
更多内容
除将表格形式的資料點标繪為散點圖,還可利用timechart指令和其函數來更好地識别這些離散值并提供更多背景知識。
使用時間序列資料點制作散點圖
使用timechart指令和其提供的所有函數,可以修改本節的splunk搜尋。使用“可視化”标簽和散點圖,執行下列splunk搜尋,時間範圍為“過去24小時”:
我們可以看到,借助timechart指令,先把事件按span參數設定的5分鐘間隔分段。然後計算出kb字段在給定時間段的mean、min和max值。這樣,如有離散值,就會更清晰地顯示出讓該時間段的事件變得離散的原因。下面截圖中可以看到這個例子。在這個散點圖中,加亮了一個離散值,它離正常的事件群很遠。借助min和max值可以了解它從這個事件序列分離出來的原因。
另參見