Splunk. Table color

Приветствую, уважаемый читатель!

Предлагаю продолжить разбираться в пряниках, которые разработчика Splunk внедрили в версии 6.5. Как я уже говорил, с каждой новой версией работать становится всё проще и удобнее. Для вывода информации на дашборды часто используется визуальный элемент «Table», со списком полей из sourcetype. Сегодня я покажу, как можно подсветить или выделить значения нужных нам полей.

Когда вы создаёте дашборд и накидываете туда различных элементов (фильтры, панели), то по умолчанию в xml-файл дашборда добавляются только основные параметры каждого элемента.  Для добавления расширенных параметров к элементу необходимо перевести дашборд режим редактирования и вручную дописать необходимое.

Существуют строгие правила, что именно можно дописать в текст дашборда, а точнее какие расширенные параметры можно добавить к коду того или иного визуального элемента.  Если вы их нарушите, то возможны следующие варианты:

• Splunk не даст сохранить дашборд и выдаст код ошибки;
• всё сохранится, но нужный функционал не заработает.

Каждый вариант подсветки значений будет рассмотрен следующим образом:

1) Исходный код запроса на SPL.

2) XML текст для вставки в дашборд с пояснениями.

3) Визуальный эффект.

Посмотреть коды цветов можно тут - http://www.color-hex.com/color-palettes/

Подсветить конкретные значения в полях таблицы

1) SPL-запрос на получение произвольных событий из журналов Apache:

sourcetype=Apache_access

| table _time,clientip,method,bytes, uri

2) XML текст для реализации данной подсветки (выделен жирным):

<table>

<search>

          <query>sourcetype=Apache_access

| table _time,clientip,method,bytes, uri</query>

          <earliest>$time_tok.earliest$</earliest>

          <latest>$time_tok.latest$</latest>

          <sampleRatio>1</sampleRatio>

        </search>

        <format type="color" field="method">

          <colorPalette type="map">{"GET":#23ce51,"HEAD":#1e8ee3,"PROPFIND":#e7910d}</colorPalette>

        </format>       

</table>

Пояснение:

<format type="color" field="method">  -  задание типа действий над таблицей и поле, результаты которого надо подсветить.

<colorPalette type="map"  -  задание способа реализации подсветки (данный пример позволяет задать произвольный цвет для конкретного значения).

"GET":#23ce51,"HEAD":#1e8ee3  -  задание цвета для каждого значения

3) Визуальный результат:  

Подсветить диапазоны значений в полях таблицы

1) SPL-запрос на получение статистики событий по IP-адресам из журналов Apache:

sourcetype=Apache_access

| stats count by clientip

| sort –count

2) XML текст, который необходимо добавить в код дашборда:

     <table>

        <search>

          <query>sourcetype=Apache_access clientip!="149.126.98.146"

| stats count by clientip

| sort -count</query>

          <earliest>$time_tok.earliest$</earliest>

          <latest>$time_tok.latest$</latest>

          <sampleRatio>1</sampleRatio>

        </search>

        <format type="color" field="count">

          <colorPalette type="list">[#09ae25,#0fd02f,#089411,#057a0d]</colorPalette>

          <scale type="threshold">0,100,200</scale>

        </format>

       </table>

Пояснение:

<format type="color" field="count">  -  задание способа реализации подсветки (данный пример позволяет задать произвольный цвет для диапазонов значений в выбранном поле - count).

<scale type="threshold">0,100,200</scale> -  задание диапазонов значений для подсветки.

<colorPalette type="list">[#09ae25,#0fd02f,#089411,#057a0d]</colorPalette> -  задание цвета для каждого диапазона.

3) Визуальный результат:

Плавное изменение подсветки в полях таблицы

1) SPL-запрос на получение статистики событий по IP-адресам из журналов Apache:

sourcetype=Apache_access

| stats count by clientip

| sort –count

2) XML текст, который необходимо добавить в код дашборда:

     <table>

        <search>

          <query>sourcetype=Apache_access

| stats count by clientip

| sort -count</query>

          <earliest>$time_tok.earliest$</earliest>

          <latest>$time_tok.latest$</latest>

          <sampleRatio>1</sampleRatio>

        </search>

        <format type="color" field="count">

          <colorPalette type="minMidMax" maxColor="#12bf0c" minColor="#cfec64"></colorPalette>

          <scale type="minMidMax"></scale>

        </format>      

      </table>

Пояснение:

<colorPalette type="minMidMax" maxColor="#12bf0c" minColor="#cfec64"></colorPalette>-  задание минимального и максимального значений цвета. С увеличением значений в нужном поле, цвет выделения будет приближаться к максимальному цвету.

3) Визуальный результат:

Всем удачного использования J