Приветствую, уважаемый читатель!
Недавно вышел новый релиз
Splunk
– Splunk
6.5. С каждым релизом многие вещи в системе значительно упрощаются и становятся
удобнее в использовании. Сегодня расскажу о новом виджете для дашбордов, а
именно о Choropleth
MAP,
который является логическим продолжением виджетов для базы GeoIP.
Недавно я писал про
использование базы GeoIP
в
запросах и визуализацию на дашбордах - http://unitybas.blogspot.ru/2016/05/splunk-geoip.html. Новый виджет и оператор geom позволяют расширить
визуализацию источников активности и отображать на дашбордах страны.
Я продемонстрирую
возможности на решении следующей задачи: показать
на карте страны, с диапазона IP-адресов
которых были осуществлены запросы к web-серверу. Запрос,
который это покажет, представлен ниже (в терминологии Splunk на
дашборд необходимо добавить новую панель - Choropleth MAP):
| inputlookup
geo_attr_countries
| search [search sourcetype
= Apache_access
|
iplocation allfields=true clientip
|
stats count by clientip,Country
|
eval country = Country
|
table country
|
dedup country]
| fields country, region_un
| geom geo_countries
featureIdField=country
Пояснения к запросу:
- Получаем все события из базы атрибутов стран.
- Достаем события из журнала Apache и привязываем к ip-адресу источника информацию из базы GeoIP (страну источника). Далее схлопываем события по каждой стране и коррелируем оставшиеся события с базой атрибутов стран по полю country. После корреляции в общем запросе останутся только страны, с ip-адресов которых были события.
| search [ | search sourcetype
= Apache_access
| iplocation allfields=true clientip
| stats count by clientip, Country
| eval country = Country
| table country
| dedup country
С помощью оператора geom отображаем на карте оставшиеся страны.
| fields country, region_un
| geom geo_countries featureIdField=country
Возможно не самый
востребованный функционал, но мне понравился.
Комментариев нет:
Отправить комментарий