1

私は Splunk に比較的慣れていないので、過去 5 分間の特定のイベントの平均タイミングを表示する新しいビューを作成しています。マクロ検索を作成して、2 つのパラメーター (トランザクション名と検索期間) を取る検索を実行したので、最初のパネルでは、これは EVENT_*_LOGIN と -5m です。ビューには現在、個別のイベント名ごとに結果の単純な表が表示されます。

私がやりたいことは、ユーザーが特定の行をクリックすると、過去 4 時間のそのトランザクションのすべてのイベントのタイムライン ビューにドリルダウンすることです。クリックまたはドリルダウンで表示される情報を指定する方法はありますか?

このあいまいな場合はお詫びします。詳細については、私にメッセージを送信してください。必要です。

前もって感謝します

4

2 に答える 2

1

最も簡単な方法は、SideView Utilsを使用し、それらRedirectorまたはSearchモジュールを活用して、ユーザーがクリックしたものに基づいて検索クエリをカスタム入力することです。

クリックされたグラフに基づいてポップアップでカスタム検索を開きます

<module name="FlashChart">
    <param name="width">100%</param>
    <module name="Redirector">
        <param name="popup">True</param>
        <param name="url">flashtimeline</param>
        <param name="arg.q">search MyField="$click.value$" eventtype="#$click.name2$" hoursago=4</param>
    </module>
</module>

クリックされたテーブル要素に基づいてポップアップでカスタム検索を開きます

<module name="SimpleResultsTable">
    <param name="drilldown">all</param> 
    <module name="Redirector">
        <param name="popup">True</param>
        <param name="url">flashtimeline</param>
        <param name="arg.q">search MyField="$click.value$" eventtype="#$click.name2$" hoursago=4</param>
    </module>
</module>

Search/のドキュメントにはRedirector、Splunk Web インストールを使用してアクセスできます。

    http://[splunk_web]/en-US/modules#Splunk.Module.Redirector
    http://[splunk_web]/en-US/modules#Splunk.Module.Search
于 2012-11-29T17:54:45.883 に答える
0

Splunk バージョン 5 以降、動的ドリルダウンがサポートされるようになりました。ここのドキュメントをチェックして、それが必要なことをするかどうかを確認してください。

于 2013-05-15T17:37:50.177 に答える