Splunk 工具教程文档

1、 LoadRunner测试工具学习任务Splunk测试工具学习任务目录目录3一Splunk基础知识5二 Splunk的功能特性61. 多平台支持62. 从任意源索引任意数据63. 从远程系统转发数据64. 关联复杂事件75. 专为大型数据构建76. 在整个数据中心扩展77. 提供角色行的安全性7三Splunk导览81. 索引任何数据82. 搜索与调查93. 与搜索结果互动94. 新增知识105. 关联复杂事件106. 监视和警报117. 报告与分析118. 自定义仪表板与视图129. 构建于部署Splunk应用程序12四 Splunk各版本之间的功能比较13五Splunk的独特优势151、无风

2、险快速回报152、受到用户喜爱153、处理您所有的机器数据154、适应动态环境155、适用于所有类型的用户166、满足整个 IT 行业的策略需求167、从笔记本电脑扩展至数据中心16六 Splunk安装过程171. 客户端下载地址：172. 双击，开始安装：173. 打开客户端，端口号配置：214. Splunk配置过程215. 重启Splunk服务216. 客户端计算机名称23七 Splunk的使用241. 登录Splunk242. 欢迎使用界面242.1 欢迎标签：253. 在Splunk中添加数据253.1 向Splunk中添加示例数据254. 开始在Splunk中搜索数据324.1 摘

3、要仪表板334.2 仪表板涵盖的内容334.3 开始搜索344.4 搜索结果显示354.5 Splunk停止搜索364.6 搜索助手364.7 搜索结果中的关键字高亮375. 使用时间轴375.1 搜索375.2 滑动鼠标，选中一个柱状体375.3 双击一个柱状体385.4 通配符*385.5 字段菜单396. 字段选取396.1 在字段菜单中点击“字段选取”链接396.2 滚动浏览可见字段列表40八 字段值报表418.1 使用字段菜单418.2 访问报表创建器428.3 实例：失败交易计数43九 仪表板489.1 创建仪表板489.2 定义仪表板面板搜索 49十性能指标的添加和搜索

4、5010.1 添加数据，选择Windows性能指标5010.2 开始在本机上进行Windows性能指标收集5010.3 开始搜索5210.4 查看搜索结果53十一IIS日志的添加和搜索5411.1 添加数据，选择添加IIS日志5411.2 开始在本地Splunk搜索服务器上的IIS日志5411.3 开始搜索iis日志文件5711.4 查看搜索结果58总结59一Splunk基础知识Splunk 是机器数据的引擎。使用 Splunk 可收集、索引和利用所有应用程序、服务器和设备（物理、虚拟和云中）生成的快速移动型计算机数据 。从一个位置搜索并分析所有实时和历史数据。 使用 Splunking 处理

5、计算机数据，可让您在几分钟内（而不是几个小时或几天）解决问题和调查安全事件。监视您的端对端基础结构，避免服务性能降低或中断。以较低成本满足合规性要求。关联并分析跨越多个系统的复杂事件。获取新层次的运营可见性以及 IT 和业务智能。二 Splunk的功能特性1. 多平台支持Splunk是一个可以在所有主流操作系统上运行的独立软件包 - 只需选择您的平台，然后下载并安装即可。您需要处理和运行的是用户使用的 Web 界面，以及用于索引计算机数据的引擎。目前Splunk支持的平台有Windows XP, Vista, 7, and 8 (32-bit/64-bit)/Windows Server 20

6、03, 2003 R2, 2008, and 2008 R2 (32-bit/64-bit)、2.6+ kernel Linux distributions(32-bit/64-bit)、Solaris（8,9,10,11）、OSX（10.5，10.6，10.7）、FreeBSD 7,8（32-bit/64-bit）、AIX （5.3，6.1，7.1） 、HP-UX（11i v2，11i v3）.2. 从任意源索引任意数据Splunk 可以从任何源实时索引任何类型的计算机数据。可以在 Splunk 中指向您的服务器或网络设备的系统日志、设置 WMI 轮询、监视实时日志文件，并能够监视您的文件系

7、统或 Windows 注册表中的更改，或安排脚本获取系统指标。Splunk 可以索引您的所有机器数据，而无需购买、编写或维护任何特定的分析器或适配器。原始数据和丰富索引均存储在高效、已压缩的、基于文件系统的数据存储中，并提供可选数据签名和数据的完整性审核。3. 从远程系统转发数据在无法通过网络提供所需数据，或安装了 Splunk 的服务器上看不见所需数据的情况下，可以部署 Splunk Forwarder。Splunk forwarder 为成千上万的端点提供安全、分布式实时全局数据收集。它们可以监视本地应用程序日志文件、捕获有关时间表的状态命令输出、获取来自虚拟或非虚拟来源的性能指标，或监控

8、配置、权限和属性变化的文件系统。它们都是属于可以快速部署的轻量级服务器，而且不会产生任何额外费用。4. 关联复杂事件借助 Splunk，您可以跨许多数据来源关联整个工作环境中的复杂事件。Splunk 支持五种关联类型。基于时间的关联，用于根据时间、接近性或距离来确定关系。基于交易的关联，用于跟踪构成单次交易的一系列相关事件，进而评估时间长度、状态或进行其它分析。子搜索，用于获取其中一个搜索的结果并在其它搜索中使用这些结果。查找，用于关联 Splunk 以外的外部数据来源。连接，用于支持类似 SQL 的内部和外部连接。关联 Splunk 中的事件有助于从机器数据中获得更丰富的分析和洞察力，为 I

9、T 和业务提供更好的可见性和智能。5. 专为大型数据构建使用 Splunk ，每天可收集和索引成千上万太字节的数据。其可扩展性体系结构基于 MapReduce，因此，随着日常数据量和数据来源不断增长，您只需添加更多商品服务器即可扩展效能。自动负载平衡可以优化工作负载和响应时间，并提供内置故障转移机制。开箱即用的报告和分析功能可避免部署第三方报告工具的需要。还可以配置 Splunk 使用 SAN 或其它存储设备，以满足长期存储需求。6. 在整个数据中心扩展Splunk 分布式体系结构可让您在一个数据中心跨多个部署进行搜索，或在您的所有数据中心进行全局搜索。借助基于角色的访问，您可以控制指定用户的

10、搜索将要跨越的范围。区域用户可以查看区域系统的数据，而企业范围内用户则可以查看所有数据中心的数据。Splunk 愿景是让每一位已授权员工都能够看到他们需要的计算机数据；并将数据用于调查、报告和仪表板或分析，以便不断提高 IT 运营并获得有价值的业务洞察力。花几分钟时间安全连接您的 Splunk 安装，能让您设计一个可管理的企业数据结构。7. 提供角色行的安全性从各个方面来说，Splunk 均可谓是一种强大的安全模型。各项 Splunk 交易均会得到验证，其中包括通过 Web 用户界面和命令行接口执行的用户活动，以及通过 Splunk API 执行的系统活动。使用一整套按用户类型来限制功能的记录

11、控制点，您可以自己为 Splunk 用户定义角色。这些精细的访问控制可以限制搜索、警报、报告、仪表板以及不同 Splunk 角色可以查看的视图。Splunk 还可以集成兼容 LDAP 的外部目录服务器和 Active Directory 服务器，以执行企业范围内的安全策略。此外，还提供单一登录集成，以启动对用户凭据的传递身份验证。由于进行故障排除、调查安全事件和证明合规所需的全部数据都保存在 Splunk 中，您可以严格限制访问生产服务器。三Splunk导览Splunk 实时收集并索引所有机器数据（物理、虚拟和云中）。它允许您访问、使用数据，并发掘数据价值。它能够对各项事宜进行索引，以便深入了

12、解、商讨和解决问题。它可以在您与您的小组共享有用的搜索时，进行智能辅助，并添加您的 IT 环境所特有的知识。它能创建临时报告，以确认趋势或证明合规控制；构建实时仪表板，以便监视安全事件和攻击、应用程序 SLA 和其他关键性能指标；实时分析用户交易、客户行为、机器行为、安全威胁、欺诈活动等。1. 索引任何数据2. 搜索与调查3. 与搜索结果互动4. 新增知识5. 关联复杂事件6. 监视和警报7. 报告与分析8. 自定义仪表板与视图9. 构建于部署Splunk应用程序四 Splunk各版本之间的功能比较Splunk Free 专供个人使用。Splunk Enterprise 添加了支持多用户和分布

13、式部署的功能，并包括警报、基于角色的安全、单一登录、预设的 PDF 交付以及对无限数据量的支持。功能说明Splunk FreeSplunk Enterprise索引量每天的索引量500MB/天无限（基于许可证）全局索引索引整个 IT 领域的任何数据 - 任何来源、格式或位置支持支持搜索搜索实时流式处理数据和历史数据支持支持报告制定有关实时流式处理 IT 数据或历史 IT 数据的专项报告支持支持知识图新增有关事件、字段、交易、模式和统计资料的知识至您的 IT 数据支持支持仪表板创建集成多个图表、报告和表格的实时仪表板支持支持监视和警报预设针对不断监视和警报简单或复杂事件的搜索支持PDF 报表交付

14、预设任何 Splunk 仪表板、视图、搜索或报告的 PDF 报表交付支持分布式搜索搜索整个分布式 Splunk 部署，支持负载平衡和故障转移支持数据接收接收来自其它 Splunk 实例的数据支持支持数据转发将可靠数据实时转发至其它 Splunk 实例支持支持访问控制提供用户验证和基于角色的访问控制支持单一登录集成到企业单一登录解决方案支持社区应用程序运行社区网站 Splunkbase 提供的应用程序和插件支持支持高级应用程序支持由 Splunk 和合作伙伴分配的高级应用程序支持开发人员 API记录的 API 可将 Splunk 集成到任何业务或开发工作流程支持支持标准支持访问完整的产品文档、论

15、坛和 IRC，以便对基本技术问题作出回答支持支持企业级支持服务通过电话直接访问我们能够在线管理案例（也提供定制的支持水平）的客户支持团队支持五Splunk的独特优势1、无风险快速回报作为一种免费下载或低成本的企业许可证，Splunk 部署简单并可以从单一服务器部署扩展至全局大规模运营，以及提供快速的投资回报。在您的笔记本电脑或任何商品服务器上免费下载和安装 Splunk 只需五分钟，然后可以输入任何机器数据并启动 Splunking。Splunk 通常在紧急时刻首次部署。正在发生的重大服务中断或安全事件会使人伤透脑筋，但您可以使用 Splunk 便能在几分钟内完成调查，而不是几个小时或几天。2

16、、受到用户喜爱大多数用户很快就会成为 Splunk 的忠实用户，因为我们的开发人员专注于开发他们自己想要使用的软件。所有相关人员 - 系统管理员、安全分析师、网络工程师、开发人员、服务台和支持人员 - 均可以即刻部署 Splunk 并能够更好、更快和更轻松地完成他们很难完成的部分工作。Splunk Web 界面非常直观且快速，并支持快速、临时深入分析搜索结果。3、处理您所有的机器数据与其它需要您花费几天或几周时间来开发或配置特定分析器和自定义连接器的系统管理、SIEM 和日志管理产品不同，Splunk 可以连接至任何数据来源。即时未提供连接器，您也无需依赖某个厂商来生产特定连接器。Splunk

17、 能够实时持续索引您的所有机器数据 - 日志、配置数据、变化事件、诊断命令输出、API 和消息队列中的数据，甚至自定义应用程序中的日志。现在，您可以轻松处理对解决问题、调查安全事件、报告合法性和其它有价值的任务至关重要的企业数据。如果机器可以生成数据，则 Splunk 就可以对其进行索引、搜索，并用其生成警报和报告。4、适应动态环境在当今动态和可视化的数据中心，唯一不变的常量就是变化。传统的 IT 管理和安全技术假设您知道前方的所有可能失败和风险，且您的数据格式将不会发生变化，但这种做法已经不再有效。Splunk 能够实时持续索引您的所有计算机数据，不会依赖脆性架构来限制灵活性，当数据格式发生

18、变化时也不会中断。您需要对数据进行的任何解释，例如提取共同的字段或标记主机的子集，都可以在搜索时轻松完成，无需格式转换。这就是您从全球 Splunk 用户了解到的重要事情之一，即 Splunk 拥有卓越的灵活性的原因。5、适用于所有类型的用户Splunk 可以轻松创建自定义仪表板和报告，使您能够清楚地处理大量数据。将预定义的搜索、图表和报告合并成一个强大的仪表板，或使用其它基于网络的应用程序创建聚合应用程序，例如 Tivoli、SAP、Oracle 和安全控制台等。Splunk 有助于网络工程师、系统管理员、安全和合法性分析师、开发人员、支持人员、服务台工作人员，甚至业务用户及时了解在 IT

19、基础结构中发生的任何事件。6、满足整个 IT 行业的策略需求Splunk 发明了一种用来管理机器数据和释放其巨大价值的新方法。将 Splunk 用作引擎来搜索和分析计算机数据，不但能改变用户完成其工作的方式，而且还能提升 IT 在组织中的作用。这样能使用户大大提高生产率，使企业增加更多正常运行时间并减少收入中断，从而使客户更加满意。许多客户开始使用 Splunk 来解决具体问题领域，使他们的初始使用案例快速成为内部成功案例，然后将 Splunk 部署到其它 IT 关键领域（如应用程序管理、安全与合规性、基础结构与运营管理），并获取新的商业智能。7、从笔记本电脑扩展至数据中心您必须以更低的成本、

20、更快的速度，完成更多工作。Splunk 能让您在一台商业服务器上，在几秒内便可搜索数十亿个事件。它的并行架构意味着，其搜索和索引效能将跨整个 CPU 核心和商品服务器线性攀升。Splunk 使用它自己的高效数据存储，这样不会受到传统数据库的吞吐量限制或僵化架构的限制，从而使它成为搜索企业数据，进行警报和报告的最快和最灵活的方法。六 Splunk安装过程1. 客户端下载地址：2. 双击，开始安装：3. 打开客户端，端口号配置：4. Splunk配置过程Cmd输入：cd splunk安装目录/bin/ splunk.exe add forward-serve

21、r <74:9997> 用户名 admin   密码 changeme5. 重启Splunk服务6. 客户端计算机名称七 Splunk的使用1. 登录SplunkSplunk的界面在Web服务器上运行，启动后，Splunk将显示Splunk网页界面的地址。打开浏览器，转到该地址。 Splunk网站默认在安装有Splunk主机上的端口8000上运行。如果您正在本地电脑上运行Splunk，则访问Splunk网站的URL为http:/localhost:8000。 如果您使用的

22、是企业版的许可证，则第一次启动Splunk将把您带入此登录界面。使用默认的许可证证明以下信息：注：如果您使用的是免费的许可证，您可以直接使用Splunk不需要证明。在此情况下，当启动Splunk时，不会见到此登录界面。您将直接进入运行应用程序界面，或您的账户默认的应用程序界面。2. 欢迎使用界面当您第一次登录Splunk，您将看到此运行应用程序界面。此应用界面将帮助您开始使用Splunk。在您开始使用Splunk之前，您需要先输入一些数据。2.1 欢迎标签：· 添加数据：通过此链接，您将进入数据输入定义界面· 搜索：通过此链接，您将进入Splunk的搜索界面，可以在此界面上

23、搜索数据。· 右上角的定位菜单：使用右上角的定位菜单，可访问您Splunk服务器上的任何应用程序及配置界面。Splunk的每一页面都有改菜单，但没页面上的菜单的内容不尽相同。3. 在Splunk中添加数据3.1 向Splunk中添加示例数据登录Splunk之后，您将进入运行应用程序界面。如果您登录后未看到此视图，请从应用程序菜单中选择运行应用程序。3.1.1 在运行应用程序界面点击添加数据。 将打开管理员>数据输入页面 · 在MacOSX平台上，此试图将显示4种类型。 · 在Windows平台上，此视图将显示更多的输入类型。3.1.2 在活动栏下的文件盒目录

24、输入出点击添加新数据点击后，将显示主页>>添加数据>>文件或文件目录视图。您可以再次界面上传实例数据文件。一般来说，您只需要上传输实例数据文件，Splunk将执行剩下的操作，不需要做任何改动。3.1.3 点击“下一步”，选择浏览服务器并浏览刚上传的示例数据文件进入选择后，将以文件或目录的路径名来选择本地的文件。3.1.4 选择是否需要预览文件数据· 若选择“在索引之前预览数据”，则会出现以下界面，来设置来源类型：选择来源类型中，如果您选择“开始新来源类型”，则页面跳到数据浏览页面，在数据浏览前，需要先行加载数据至成功之后，选择检查设置，需要输入“新来源类型的名

25、字”以及创建props.conf文件：创建新类型成功后，对新类型进行设置：点击保存后，就可以看到页面提示：成功！正在Splunk中简历您数据的索引·若选择“跳过预览”，则会出现以下界面： 直接进入新增数据源界面，而跳过预览过程。保存后，则会看到页面提示：成功！正在Splunk中简历您数据的索引4. 开始在Splunk中搜索数据使用右上角的应用程序菜单选择搜索应用程序选项：4.1 摘要仪表板搜索应用程序的摘要仪表盘显示您刚上传至此Splunk服务器上的数据信息，并为您提供数据搜索方式：此仪表盘上心事的度量是由您访问和再装入此页面时幕后已经保存的搜索生成。4.2 仪表板涵盖的内容此搜索应

26、用包括不同的仪表板和视图。目前只需要了解一下两种：·摘要：您目前所在位置·搜索：您进行搜索的位置使用搜索定位菜单定位并访问此应用程序的不同视图。当您点击链接时，Splunk将把您带入所连接仪表板。如果您正在访问该仪表板，刷新此页。· 搜索与报告：列出所有您已经保存的搜索和报告。· 搜索栏及时间范围选择：您可以输入您要搜索的内容，并选择时间范围来检索事件。· 全球摘要界面：此界面显示您的事件数据索引的度量，包括您Splunk索引中的事件总数，以及最早和最新的索引事件的时间信息。此界面还将显示最近更新的事件（或您最近重新载入此仪表板的时间）。

27、83; 所有索引数据界面：此界面显示您plunk服务器上的主要数据源、数据源类型及主机。 如果您使用的是新安装的Splunk服务器，就只能看到您刚上传的示例数据文件。由于该文件是一次性上传文件，因此数据并不会变化。当添加更多的数据时，此仪表板上将显示更多的信息。如果您所添加数据的来源为非静止（如某程序编写的日志文件），则摘要页面上显示的数目将根据数据源而更改。如果您使用的Splunk服务器是企业用共享或预安装的服务器，则此仪表板上将可能显示更多的信息4.3 开始搜索在摘要仪表板仔细查看所有索引数据界面您可以在Apache Web服务器日志和mySQL数据库日志查看您刚上传的log文件

28、。如果您熟悉Apache Web服务器日志，您可以自己识别。在Splunk中所有的互动性非常好。尽管柴窑仪表板只有一个搜索栏，但您还不需要输入任何内容。所有索引数据界面所列的每一数据源、数据类型及主机都有链接。您仅需要打开这些链接即可开始搜索了。在搜索空白栏中输入需要搜索的文件，Splunk提供联想功能，输入关键字的前几个字母，会自动匹配到所有相关的术语及数量。也可以对文件的时间进行筛选。点击“所有时间”，选择时间段4.4 搜索结果显示搜索结果分三个部分：1. 匹配事件时间轴：时间轴是每一时间点出现的时间数目的直观表示。当时间轴随着搜索结 果不断更新时，您可能会注意到有条状图案。每一条状图案的

29、高度表示时间记录。时间轴的峰值和谷值可表示活动高峰期或服务器停机。因此，此时间轴可有效用于强调时间模式或调查各事件活动的高峰期可低谷期。时间轴选项位于时间轴上方。您可以放大、缩小或更改图表的大小。2. 字段菜单：前面我们提过在您将数据编入索引时，Splunk可自动按名称和值的格式识别并生成数据信息，我们把这称作是字段。当您进行搜索时，Splunk将把其从字段菜单上识别的所有字段列在搜索结果旁边。您可以选择其他字段来显示您搜索的事件。  所选字段都已被设置为搜索结果可见格式。将默认显示主机、源及源类型。其它字段是Splunk从您的搜索结果中抽取的。3. 事件详情：事件查看器将

30、显示Splunk搜索到的与您的搜索相匹配的事件。事件查看器位于时间轴下方。事件默认显示为列表，您也可以用表格查看。当您选择按表格形式查看事件时，表格只显示已选字段。4.5 Splunk停止搜索如果您运行搜索的Splunk上载有的数据更多，搜索时间就可能会更长。如果搜索时间超过30秒，Splunk将自动停止搜索。如果弹出搜索停止提示信息，点击继续搜索。4.6 搜索助手当您在搜索栏中输入的同时，会弹出Splunk“搜索助手”。搜索助手可显示您的“typehead”或“上下文匹配结果”以及您在搜索栏中输入关键词的搜索结果。这些匹配结果是根据您输入的数据生成的。匹配条目之下的上下文匹配结果将根据您所输

31、入的内容更新，因为更改输入内容可能会出现其他搜索结果。 搜索助手也可显示就所搜索的内容得到的匹配条目的数目，使您对Splunk将返回的搜索结果数量有个大致了解。若在您的数据中未能发现任何条目或短语，则搜索助手将不会列出任何有关结果。搜索助手可识别您所键入的为IP地址，因此建议您使用与您的搜索相匹配的Splunk自动CIDR（无类别域际路由选择）子网，以便您确定IP地址的子网。您仅仅只是在搜索一个唯一的IP地址，无需有其他顾虑。搜索助手可识别您所键入的为IP地址，因此建议您使用与您的搜索相匹配的Splunk自动CIDR（无类别域际路由选择）子网，以便您确定IP地址的子网。您仅仅只是在搜

32、索一个唯一的IP地址，无需有其他顾虑。4.7 搜索结果中的关键字高亮每次搜索时，Splunk均将在结果中对您在搜索栏中输入的内容标上荧光色5. 使用时间轴5.1 搜索时间轴上的各柱状体代表搜索的匹配事件发生的时间。5.2 滑动鼠标，选中一个柱状体将弹出工具提示，并显示时间数目和该柱距的原始时间戳，1个柱状体=1小时。5.3 双击一个柱状体这样您的搜索将仅被限制于您所选定的1小时内所发生的事件。注意，该步骤将覆盖时间范围控件，现在将显示“自定义时间”。（您将在下文中了解到更多关于时间范围的内容）另外，现在每个柱状体代表1分钟（1柱=1分钟）。 在该时间范围内还有许多事件，让我们作进一步

33、分析。5.4 通配符*Splunk支持使用星号（*）通配符来搜索“所有”或根据关键词的部分进行模糊检索事件。该搜索可告诉Splunk您希望看到在这段时间内发生的所有事件：此次搜索可将所有日志（而不仅仅只是网络服务器日志）上的事件返回到您的服务器上。浏览搜索结果，您会看到其他用户的网络活动部分可能是来自不同的主机。现在，您可以将此发现报告给IT操作小组。 5.5 字段菜单当Splunk 检索到这些事件时，字段菜单（左边蓝色领域）与已选字段和其他有趣的字段一同更新。在您运行搜索后，Splunk从您的数据中选取的所有字段会出现在这个列表中。注意所有默认字段、数据源和数据源类型都为

34、已选择字段并包含在您的搜索结果中。6. 字段选取6.1 在字段菜单中点击“字段选取”链接字段空间将打开，显示所有Splunk选取的字段。· 出现的字段是Splunk从您当前搜索的实践中找到的（其中一些字段列在“其他有趣字段”栏中）· 选择字段则是您所选择的的字段（从出现的字段中选择）、显示在您的搜索结果中（通过选择默认、主机、数据源、数据源类型）6.2 滚动浏览可见字段列表在您进行搜索后，您已熟悉 Splunk从Web访问日志中选取的字段。您也会看到 Splunk定义的其他字段，这些字段中有一些是每个事件的时间戳（每个事件以日期为开头编号）、标点和位置（

35、索引）。八 字段值报表Splunk提供强大的报表能力，能够将搜寻结果以各项清晰的图表呈现，更可弹性化地产制出组织和机构管理阶层所想要的报告内容。搜集搜索结果之后，Splunk可显著更新已生成的图表。开始搜索之后，您可在搜索完成之前创建报表。您可利用字段菜单快速创建简单的、预定义报表或利用报表创建器定义、生成和微调报表的格式，包括您打算新建的图表类型和打算在图表上显示的内容。8.1 使用字段菜单运行搜索之后，点击字段菜单中任一字段停止字段交互式菜单。例如，搜索sourcetype=access_*与打开状态交互式菜单。本菜单显示字段信息，包括数值字段或非数值字段，甚至显示字段最大值的列表式报表。

36、根据选中的字段信息，您将会发现预定义报表链接，包括平均超时、最大值超时和最小值超时或按时间换分的最大值与所有的最大值。点击这些链接中的一个之后，Splunk打开报表创建器的格式报表页。接着，您可微调预定义图表。8.2 访问报表创建器启动报表创建器，运行搜索。点击时间轴上方工作状态栏中的创建报表进行链接。Splunk在弹出窗口中显示报表创建器，在完善报表参数时，您可轻易地回到搜索页面并检查搜索结果。 报表创建器工作可分为两个阶段：定义报表内容和格式报表。定义报表内容页面显示预加载搜索的搜索栏以及时间范围控件清单。您可在其中更改报表时间范围。 定义报表内容页面的基于表单模式有助

37、于通过列表字段建立报表参数。在这种模式下，无法在搜索栏中手动更新语言。但是，利用表单建立报表参数时，您将看到搜索栏随着相应的报表指令不同自动更新。注：在使用表单界面的任何一点时，可切换至搜索语言模式以完善报表指令。 一旦确定了报告内容，返回格式报表页面。Splunk可在此生成图表和相应的表格（后面可观察到）。可在这个页面微调图标格式（格式化选项），检查相关结构表，保存、打印和输出结果。8.3 实例：失败交易计数（1） 搜索sourcetype = msi（2） 点击创建报表： 打开“定义报表内容”窗口（3） 点击下一步：格式报表打开格式报表窗口。（4） 格式化选项下：·更改

38、图表类型为直线型；·在图表标题下，为“失败交易计数”图表命名。·由于我们仅有一个数据，因此更改图列位置为无（5） 点击应用将上述更改内容应用到图表（6） 点击保存打开保存报表对话窗口。九 仪表板9.1 创建仪表板利用Splunk可视化仪表板编辑器可快速创建简单的仪表板，无需涉及XML。仅需启动保存搜索和报表。Splunk可通过保存的搜索和报表并采用有效的度量和图表填写仪表板面板。启动：1. 打开操作下拉式清单和点击创建新仪表板。2. 命名新仪表板。选定一个特定的ID。富裕它一个顶层导航菜单可识别的名称。3. 新建，以创建一个仪表板。4. 新仪表板为空。点击编辑仪表板，打开可

39、视化仪表板编辑器，以定义面板。在可视化仪表板编辑器中，首先选中面板类型。您可通过可视化仪表板编辑器新建四类仪表板面板，包括数据表、图表、事件列表和单值面板（此外还有两种面板，即列表面板和超文本置标语言（HTML）。仅可通过直接运作简易可扩展置标语言（XML）以为仪表板新建这两个面板）。  数据表面板类型以列表形式显示报表结果。  图表面板类型以图表形式显示报表结果。  单值面板类型以结果形式显示单数值。  事件列表面板类型显示搜索所返回的一系列事件。 选中面板类型后，输入名字，并选中保存搜索或与之相关的报

40、表。点击添加面板，在面板板式部分添加新面板。9.2 定义仪表板面板搜索 所搜仪表板面板均与搜索相关。可确定面板是否偏离了预定义保存搜索，或面板是否采用了特殊设计且与内联形式与面板关联的搜索。 在搜索指令部分，选中保存搜索或内联搜索字符串。 假设选中保存搜索，可从所有保存搜索列表中选中面板保存搜索。保存搜索与原应用相关（编辑仪表板时的母应用）。每次开启或更新时，仪表板都会运行面板搜索。 若选中内联搜索字符串，可定义面板特定的搜索字符串。通过在最初时间和最迟时间字段中设置相对时间修改器规定内联搜索时间范围。 注：切记：使用可视化仪表板编辑器无法建立图表面板格式化参数。若设计带内联搜索的图表面板且需要调整图标格式，需对仪表板后的简易可扩展置标语言（XML）进行编辑。 更改仪表板权限 选中编辑许可扩大或限制仪表板基于角色的读取和写入许可。设置仪表板许可时，可定义应用有效性。仪表板可能：