Приветствую,
уважаемый читатель!
Хочу
продолжить тему визуализации данных в Splunk и рассказать, как можно с
использованием SPL-оператора
Timechart создавать удобные и незагруженные графики. Дополнительно
рассмотрим визуализацию с использованием модной техники - Parallel Coordinates.
Начнем
с Timechart
Визуализация
с использованием SPL-оператора
Timechart предназначена для создания временных диаграмм. Для примера выполним
запрос, который считает количество полученных HTTP-запросов с различными методами (в
качестве визуализации – Line Chart):
sourcetype=Apache_access
| timechart span=30m count by method
Данная
визуализация является типовой, и довольно часто встречается в различных SIEM-системах. У неё есть несколько
недостатков:
- Если количество запросов по какому-либо методу значительно превысит остальные методы, то график станет не особо информативен.
- При одновременном отображении 8-10 линий с большим количеством пересечений становится сложно разбираться.
Для решения данной
проблемы и улучшения восприятия графика можно воспользоваться меню «Format», которое
позволяет настраивать каждый визуальный элемент. Для начала включим поддержку «Multi-series Mode» и отображение
минимальных/максимальных значений на графике.
Результат, как вы видите,
значительно преобразился и стал понятнее. Можно выбрать отображение всех данных
(Show
Data
Values
- On),
а не только минимальных/максимальных, и настроить интервалы вершин графика
через опцию у Timechart
- span.
Если при данных
настройках в меню «Format» изменить тип
визуального элемента на «Area Chart», то график станет
ещё нагляднее:
У
всех визуальных элементов в меню «Format» есть параметр «Drilldown», который отвечает за
автоматические переходы («проваливания»)
при клике мышкой на графике. Если в данном параметре выставить «No»,
то клики игнорируются, и переход с дашборда не осуществляется. Если в данном параметре выставить «Yes»,
то при клике на график выполнится «проваливание» (по умолчанию открывается список
событий). Настройка правил «проваливания» осуществляется в XML-коде дашборда, а именно: куда
переходить (другой дашборд), какие токены передавать и т.д.
Parallel Coordinates
Теперь
поговорим, про модную технику визуализации Parallel Coordinates. Увидел я её
первый раз на скриншотах SIEM
ArcSight
и решил найти реализацию в Splunk.
В стандартный набор элементов для визуализации Parallel Coordinates не входит,
и для использования необходимо скачать отдельное приложение по следующему
адресу: https://splunkbase.splunk.com/app/3137/
После установки приложения
в Splunk появится возможность использования на дашбордах.
В
отличии от большинства визуальных элементов, которым на вход надо подавать
результаты работы статистических операторов SPL (stats, timechart
и
т.д.), на вход Parallel Coordinates подается таблица, в которой каждое поле (fields)
используется для поиска взаимосвязи с другими перечисленными полями.
Для
примера, отобразим связи ip-адресов
с запрашиваемыми URI:
sourcetype=Apache_access uri!="*cgi*"
| stats count by clientip,uri
| table clientip,uri
Немного
усложним график и добавим связь с HTTP-методом, при помощи которого выполнен запрос:
sourcetype=Apache_access uri!="*cgi*"
| stats count by clientip,method,uri
| table clientip,method,uri
Всем
удачного использования J
Комментариев нет:
Отправить комментарий