Guida introduttiva a Splunk

Splunk consente di indicizzare, eseguire ricerche, creare avvisi e report in relazione a tutti i dati IT, anche in tempo reale. Questo nell'ambito della gestione di applicazioni, di operazioni IT, della sicurezza e conformità; e tanto altro ancora. I dati elaborati possono essere di qualsiasi tipo: file di log, metriche di sistema, applicazioni, configurazioni... In Splunk è possibile immettere ogni genere di dati.

Per iniziare, selezionare uno degli argomenti riportati di seguito.

Introduzione

L'interfaccia utente di Splunk contiene molte funzionalità. Esaminare gli argomenti seguenti per comprendere meglio come utilizzare l'installazione di Splunk e come navigare al suo interno.

Dove ci si trova ora?

Splunk è costituito da app. Le app creano diversi contesti per i dati a partire da gruppi di viste, dashboard e configurazioni. Ora ci si trova nell'app Guida introduttiva. Sono anche disponibili l'app di ricerca, dove è possibile creare ricerche, e l'app di default Splunk Home, che consente di avviare altre app. È anche possibile aggiungere nuove app da Splunkbase o crearne di personalizzate.

Navigare tra le app

Per passare a un'altra app, utilizzare il menu a tendina App nell'angolo superiore destro:

screenshow_uploadLocal

Per visualizzare l'elenco delle app attualmente installate nell'istanza Splunk in uso, è possibile ritornare a Home selezionando il menu App nell'angolo superiore destro di questa pagina e selezionando quindi Home. In questo modo si esce dall'app Guida introduttiva, ma è possibile ritornarvi selezionando nuovamente Guida introduttiva dai menu Home o App.

Si è già utilizzato Splunk in precedenza? Si desidera qualcosa di più familiare?

Se si è già utilizzato Splunk, probabilmente si sta cercando l'app Ricerca. Per trovare l'app Ricerca, selezionare "Ricerca" dal menu App nell'angolo superiore destro.

Gestire l'installazione di Splunk

La maggior parte delle opzioni di gestione di Splunk è disponibile tramite Splunk Web (l'interfaccia utente di Splunk). Alcune configurazioni sono disponibili solo per gli utenti Splunk con privilegi di amministratore. Se non è possibile accedere ad alcune configurazioni descritte in questa app, è probabile che non si disponga dell'autorizzazione necessaria.

Utilizzare Splunk Manager

Splunk Manager consente di gestire configurazioni e app. Tramite Splunk Manager è possibile impostare quasi tutte le modifiche alle configurazioni. Accedere a Manager selezionando il link Manager nell'angolo superiore destro:

screenshow_uploadLocal

Utilizzare Gestione processi

Gestione processi consente di gestire le ricerche. Tutte le ricerche vengono eseguite come processi. È possibile elencare e controllare le ricerche eseguite nel sistema selezionando il link Processi nell'angolo superiore destro:

screenshow_uploadLocal

Aggiungere altre app

Per cercare e scaricare altre app per Splunk, tornare a Home e selezionare la scheda Cerca altre app.

È anche possibile creare app personali. Per ulteriori informazioni, consultare il Manuale dello sviluppatore.

Indicizzare i dati

Se i dati vengono generati da un computer, Splunk può indicizzarli. Proprio così: Splunk è in grado di indicizzare tutti i tipi di dati, strutturati o non, senza parser, connettori o adattatori personalizzati. È possibile immettere in Splunk ogni genere di dati, da syslog provenienti da server Unix e dispositivi di rete a log eventi di Windows, a log di applicazioni personalizzate fino a configurazioni e metriche di sistema: sarà assicurata la visibilità dell'intera Infrastruttura IT.

È possibile utilizzare l'inserimento dei dati nei flussi di lavoro di Splunk per individuare tutti i diversi tipi di dati che possono essere aggiunti a Splunk e le diverse opzioni per l'immissione di questo tipo di dati. Sono disponibili diverse modalità di input dei dati in Splunk, a seconda della loro posizione.

Su questo server Splunk

Splunk può indicizzare i dati locali, sia in modo continuo che una volta sola. È possibile configurare Splunk affinché indicizzi un file o una directory tramite Splunk Manager. È anche possibile visualizzare un'anteprima dei dati prima di indicizzarli e creare regole personalizzate per la loro gestione.

  1. Selezionare Manager » Input dati » File e directory.
  2. Selezionare Nuovo.
  3. Viene visualizzata la pagina Anteprima dati dove è possibile creare un sourcetype, cioè una serie di regole per il parsing e l'estrazione dei dati temporali dell'index dai file e dalle directory.
  4. Al termine della visualizzazione dell'anteprima dei dati, è possibile aggiungere un singolo file o directory e Splunk indicizzerà immediatamente i dati.
  5. Selezionare "Indicizza continuamente i dati di un file o directory a cui questa istanza Splunk può accedere" per indicizzare continuamente i dati.
  6. Selezionare "Carica e indicizza un file" per caricare un file sul proprio computer client.
  7. Selezionare "Indicizza un file una volta da questo server Splunk" per indicizzare un file una volta sola.
  8. Impostare ulteriori opzioni seguendo le altre istruzioni nella pagina. Ad esempio, impostare nome host, sourcetype o index. Oppure è possibile lasciare i valori di default della maggior parte di queste opzioni e Splunk li assegnerà automaticamente.

Su un computer Windows remoto

Splunk consente di raccogliere dati Windows da altri computer nella rete. Sono disponibili alcune opzioni, in base alla configurazione della rete:

  1. Se Splunk è in esecuzione su Windows, è possibile utilizzare WMI per raccogliere log eventi di Windows oltre che per la raccolta di log eventi, il monitoraggio del registro di sistema e il monitoraggio di Active Directory. Tutte le opzioni sono elencate in Manager » Input dati.
  2. Se Splunk è in esecuzione su un computer non Windows, è possibile utilizzare un agente per inviare i dati dal computer Windows a Splunk. Installare un universal forwarder sul computer remoto. Per ulteriori informazioni sui forwarder, consultare l'argomento Universal forwarder nella documentazione.
  3. In alternativa, è sempre possibile indicizzare i dati dalle directory condivise nella rete. È sufficiente passare alla pagina Input dati di Splunk Manager e selezionare "Esegui monitoraggio di un file o una directory". Digitare il percorso completo del file o della directory. Ad esempio, su Windows è possibile digitare: c:\apache\apache.error.log per eseguire il monitoraggio di un file locale oppure \\hostname\apache\apache.error.log per eseguire il monitoraggio di un file su un computer Windows remoto.

Su un computer non Windows remoto

Splunk consente di raccogliere dati da altri computer nella rete, con Sistema operativo diverso da Windows. Sono disponibili alcune opzioni, in base alla configurazione della rete:

  1. È sempre possibile indicizzare i dati dalle directory condivise nella rete. È sufficiente passare alla pagina Input dati di Splunk Manager e selezionare "Esegui monitoraggio di un file o una directory". Digitare il percorso completo del file o della directory. In Unix, utilizzare il modulo /var/log per eseguire il monitoraggio di un file locale oppure /mnt/www01/var/log per una directory remota.
  2. È anche possibile utilizzare l'universal forwarder di Splunk per inviare i dati a Splunk da un altro computer. Installare il forwarder come agente sul computer remoto e configurarlo in modo che trasmetta dati al server Splunk. Per ulteriori informazioni sui forwarder, consultare l'argomento Universal forwarder nella documentazione.

Sulla propria rete

Utilizzare questo metodo per acquisire i dati inviati attraverso una porta TCP o UDP. Ad esempio, configurare Splunk affinché ascolti su UDP 514 per acquisire dati syslog.

  1. Accedere alla pagina Input dati in Splunk Manager.
  2. Selezionare Nuovo accanto a UDP per aggiungere dati dalla porta UDP.
  3. Selezionare Nuovo accanto a TCP per aggiungere dati da una porta utilizzando TCP.
  4. Specificare la porta su cui ascolterà Splunk.
  5. Impostare ulteriori opzioni seguendo le altre istruzioni nella pagina.

Altri metodi di input

Esistono altri metodi per immettere dati in Splunk. Di seguito sono riportate alcune opzioni comuni:

Raccolta di dati da diversi computer in un ambiente distribuito

Per inviare dati a Splunk da un ambiente distribuito, come una farm di server app o Web, tramite accesso locale, è possibile utilizzare l'universal forwarder di Splunk, un agente leggero che può essere distribuito a decine o anche centinaia o migliaia di server per acquisire dati in tempo reale e inviarli a un indexer Splunk centrale. Utilizzare gli Universal forwarder per inviare dati a Splunk da altri sistemi. Configurare l'opzione di inoltro da Splunk Manager.

Creazione di input basati su script personalizzati

È possibile creare un input basato su script per la propria source di dati personalizzata. Gli input basati su script sono utili per strumenti della riga di comando come vmstat, iostat, netstat, top, ecc. È possibile ricevere dati da API e da altre interfacce dati e code di messaggi remote, nonché generare metriche e dati di stato a partire dall'utilizzo di comandi di stato del sistema e delle app come vmstat, iostat, ecc. Molte app su SplunkBase contengono input basati su script per applicazioni specifiche. Configurare gli input basati su script da Splunk Manager.

Monitoraggio delle modifiche al file system

Per scoprire le modifiche che si verificano al file system, è possibile configurare un monitoraggio modifiche al file system per visualizzare tutte le modifiche non appena si verificano. Utilizzare questo metodo per eseguire il monitoraggio di file critici, file di configurazione e altro secondo quanto richiesto da molti mandati sulla conformità nonché per individuare eventuali modifiche che incidono sul sistema e modifiche non autorizzate ai fini della sicurezza e delle operazioni.

Ricerca

Quando in Splunk sono disponibili dei dati, è possibile utilizzare l'app Ricerca per analizzare eventuali violazioni della sicurezza, risolvere problemi delle applicazioni, dei server e della rete o semplicemente esaminare proattivamente il sistema e le attività degli utenti.

Ricerca a formato libero

È possibile eseguire la ricerca di qualsiasi testo che si prevede di trovare nei dati.

  1. Accedere all'app Ricerca.
  2. Digitare i termini direttamente nella barra di ricerca. Se si sta esaminando un problema, cercare:
  3. screenshow_uploadLocal
  4. Utilizzare i termini in combinazione con le espressioni booleane. Quindi, se si desidera trovare errori non associati ad attività sul Web, cercare:
  5. screenshow_uploadLocal
  6. Utilizzare caratteri jolly per trovare pattern di termini corrispondenti. Se si desidera trovare tentativi di accesso non riusciti, il cui messaggio potrebbe includere sia "failed" (non riuscito) che "failure" (errore), si può cercare:
  7. screenshow_uploadLocal

Ricerca in tempo reale

È possibile cercare dati in tempo reale man mano che vengono immessi in Splunk.

  1. Accedere all'app Ricerca.
  2. Digitare un termine di ricerca a formato libero. La ricerca in tempo reale supporta tutte le sintassi di ricerca di Splunk.
  3. Selezionare l'opzione "In tempo reale", quindi scegliere un intervallo di tempo in cui visualizzare i risultati in tempo reale man mano che vengono trasmessi.
  4. screenshow_uploadLocal

Interagire con i risultati

I risultati della ricerca sono interattivi come la sequenza temporale. In questa sezione viene illustrato in che modo, con un solo clic, è possibile aggiungere, rimuovere ed escludere termini dalla ricerca.

  1. Accedere all'app Ricerca.
  2. Eseguire la ricerca di un termine contenuto nei dati.
  3. Spostare il mouse sui risultati della ricerca. Le parole e le frasi si evidenziano al passaggio del mouse, a indicare che è possibile aggiungere questi termini alla ricerca.
  4. Evidenziare e selezionare un termine nei risultati della ricerca. La ricerca si aggiorna e include questo termine nella barra di ricerca, escludendo tutti i precedenti risultati non corrispondenti.
  5. In alternativa, selezionare un termine già evidenziato nei risultati della ricerca; Splunk si aggiorna e rimuove quel termine dalla ricerca.
  6. È inoltre possibile specificare i termini da escludere. Evidenziare il termine e fare clic tenendo premuto il tasto Alt (in Windows, Ctrl + clic): Splunk aggiorna la ricerca in modo da escludere il termine con un'operazione booleana NOT.

Utilizzare i campi per la ricerca

La ricerca a formato libero è semplice e potente, ma non sempre fornisce la risposta desiderata. Ad esempio, supponiamo di voler escludere eventi con codice di stato HTTP 200. Tuttavia, se si cerca semplicemente "NOT 200", saranno esclusi anche eventi che si desidera conservare, come eventi di stato "503" che provengono da indirizzi IP che contengono 200.

Mentre Splunk indicizza ogni termine presente nei dati originali, individua e aggiunge campi basati su coppie nome/valore, intestazioni o altre informazioni che sono comunque di facile comprensione. Ad esempio, Splunk aggiunge automaticamente informazioni sulla provenienza dei dati nei campi host, source e sourcetype. Splunk è anche in grado di riconoscere altre componenti dei dati, come indirizzi IP, codici di stato HTTP, ecc. È anche possibile aggiungere campi personalizzati, come descritto nella sezione Aggiungere knowledge di questa app.

  1. Accedere all'app Ricerca.
  2. Ad esempio, cercare attività sul Web:
  3. screenshow_uploadLocal
  4. Notare il menu Campi accanto ai risultati della ricerca, sul lato sinistro. Si tratta di campi che Splunk individua e aggiunge automaticamente.
  5. screenshow_uploadLocal

    I campi visibili nei risultati della ricerca sono elencati nell'intestazione 'campi selezionati'. È possibile selezionare la visualizzazione di più campi. Altri campi individuati automaticamente da Splunk sono elencati in 'campi interessanti'.

  6. Accanto a ciascun nome di campo è indicato il numero di diversi valori esistenti per il campo nei risultati della ricerca. Selezionare un nome di campo per visualizzare i primi valori di ciascun campo. Selezionare un valore di campo per aggiungerlo come filtro di ricerca.
  7. .
  8. Durante la ricerca di dati sul Web, è possibile aggiungere lo stato HTTP al menu dei campi selezionando 'Seleziona campi' e scegliendo 'stato' dal menu a comparsa che viene visualizzato.
  9. Notare che i valori del campo 'stato' sono i codici di stato HTTP: 200, 503, 404, ecc. A questo punto, è possibile utilizzare questa knowledge per cercare o escludere determinati valori di campo. Una ricerca di tutti gli eventi di accesso non riuscito al Web potrebbe essere:
  10. screenshow_uploadLocal
  11. È anche possibile utilizzare operatori di confronto ( >, <, >=, <=) durante la ricerca nei campi; per visualizzare tutti gli eventi con valori di stato maggiori di 300, cercare:
  12. screenshow_uploadLocal

Ricerca con sequenza temporale

La sequenza temporale è una rappresentazione visiva del numero di eventi che si verificano in ciascun momento. È così possibile utilizzare la sequenza temporale per evidenziare pattern di eventi o analizzare i livelli massimi e minimi di attività di un evento.

  1. Accedere all'app Ricerca.
  2. Provare a eseguire la ricerca di 'errore' e osservare la sequenza temporale immediatamente sotto alla ricerca.
  3. screenshow_uploadLocal
  4. Man mano che la sequenza temporale si aggiorna con i risultati della ricerca, si potrebbero notare cluster o pattern di eventi; i livelli massimi e minimi nella sequenza temporale possono indicare picchi di attività o inattività del server.
  5. Selezionare un punto nella sequenza temporale e trascinare il mouse su un gruppo di barre fino a un secondo punto. I risultati della ricerca si aggiornano e vengono visualizzati solo gli eventi che si sono verificati nel periodo di tempo selezionato.
  6. screenshow_uploadLocal
  7. Selezionare una barra nella sequenza temporale. I risultati della ricerca si aggiornano e vengono visualizzati solo gli eventi che si sono verificati nel momento selezionato.
  8. screenshow_uploadLocal

Utilizzare l'assistente di ricerca

L'assistente di ricerca è una guida rapida del prodotto per gli utenti che stanno creando delle ricerche. Fornisce dettagli sul comando di ricerca oltre a esempi di utilizzo e suggerimenti su altri comandi da utilizzare.

  1. Accedere all'app Ricerca.
  2. Per aprire l'Assistente di ricerca, selezionare la freccia verde sotto la barra di ricerca.
  3. screenshow_uploadLocal
  4. Se la barra di ricerca è vuota, vengono visualizzate una breve descrizione della ricerca in Splunk e informazioni sulla creazione delle ricerche. Di default, l'assistente visualizza informazioni sul comando di ricerca.
  5. Sul lato sinistro dell'Assistente di ricerca viene visualizzata una cronologia di utilizzo dei comandi, seguita dai comandi utilizzati più spesso.
  6. Sul lato destro dell'Assistente di ricerca vengono visualizzati una breve descrizione del comando di ricerca ed esempi di utilizzo.

Aggiungere knowledge

Con Splunk la funzione di ricerca è stata perfezionata come non mai: è infatti possibile estrarre automaticamente nuova conoscenza (definita knowledge) dalle informazioni contenute nei dati IT e aggiungerla immediatamente. È possibile aggiungere knowledge circa eventi, campi, transazioni, pattern e statistiche presenti nei dati, nonché identificare, assegnare nomi e tag ai dati.

Splunk consente di mappare questi elementi di knowledge durante la ricerca, in modo da poter aggiungere nuovi campi ed event type quando necessario, senza dover reindicizzare i dati. È possibile spaziare dalla ricerca di tutti gli eventi con un determinato nome utente alla visualizzazione istantanea delle statistiche sulle attività di un utente specifico.

Classificare eventi simili

Quando si eseguono ricerche nei dati, fondamentalmente si escludono tutti gli eventi indesiderati; i risultati della ricerca sono eventi che condividono caratteristiche comuni ai quali è possibile assegnare un nome collettivo o "event type". I nomi degli event type sono aggiunti come valori in un campo eventtype. È quindi possibile cercare questi gruppi di eventi nello stesso modo in cui si effettua la ricerca di un campo. L'esempio successivo illustra i passaggi da seguire per salvare una ricerca come eventtype e cercare quindi quel campo.

Se si eseguono frequenti ricerche per analizzare le attività a livello di SSH e firewall, come accessi sshd o accessi negati tramite firewall, è possibile salvare queste ricerche come event type. Inoltre, se vengono visualizzati messaggi di errore criptici, è possibile salvarli come event type con un nome più descrittivo.

  1. Accedere all'app Ricerca.
  2. Se si tiene traccia regolarmente dell'attività SSH, come i tentativi di accesso, è possibile salvare questa ricerca come event type. Eseguire innanzitutto una ricerca; ad esempio una ricerca di accessi SSH potrebbe essere:
  3. screenshow_uploadLocal
  4. Dopo aver eseguito la ricerca, selezionare l'opzione "Event type..." nel menu a tendina "Crea". Viene visualizzata la finestra Salva event type.
  5. screenshow_uploadLocal
  6. Seguire le istruzioni visualizzate per assegnare un nome all'event type, ad esempio "sshlogin". Modificare la stringa di ricerca se necessario. Definire eventualmente dei tag per l'event type; questo argomento è trattato con maggiori dettagli più avanti. Al termine dell'operazione selezionare "Salva".
  7. È anche possibile salvare event type per altri tipi di attività SSH, come disconnessioni e timeout. Per cercare solo accessi SSH:
  8. screenshow_uploadLocal
  9. Se sono stati salvati gli altri event type come sshlogout e sshtimeout, è possibile cercare rapidamente tutti gli eventi SSH:
  10. screenshow_uploadLocal

Estrarre nuovi campi

Con Splunk è possibile estrarre automaticamente knowledge man mano che si indicizzano nuovi dati; è anche possibile aggiungere nuova knowledge ogni volta che è necessario, senza dover reindicizzare i dati. Questa sezione illustra come utilizzare l'estrattore di campi per estrarre interattivamente e salvare nuovi campi.

  1. Accedere all'app Ricerca.
  2. Eseguire la ricerca di un valore di host, source o sourcetype. L'estrazione di campi per ogni gruppo di eventi è collegata al valore di host, source o sourcetype associato agli eventi stessi.
  3. Selezionare un evento dai risultati.
  4. Selezionare la freccia a discesa blu accanto al timestamp di questo evento. Viene visualizzato un menu.
  5. Selezionare "Estrai campi". Si apre la finestra interattiva Estrai campi.
  6. screenshow_uploadLocal
  7. Seguire le istruzioni nella pagina. Ad esempio, è possibile aggiungere campi per nome utente, IP di origine e IP di destinazione.

Assegnare tag a valori di campo

I tag facilitano il raggruppamento dei risultati di ricerca che condividono i valori di campo. Un tag è un nome che viene assegnato a un determinato valore di campo come eventtype, host, source o sourcetype. Ad esempio, è possibile assegnare tag a valori di un host con il nome di un servizio o una nota che indica la conformità a normative come PCI.

In generale, si possono utilizzare i tag per:

  • Controllare valori di campo astratti, come indirizzi IP o numeri ID, che possono essere raggruppati con una posizione o un nome.
  • Utilizzare un tag per raggruppare un set di valori di campo, in modo da poter effettuare ricerche al loro interno con un semplice comando.
  • Assegnare a determinati campi estratti diversi tag che riflettono diversi aspetti delle loro identità e che consentono di eseguire ricerche basate sui tag in modo da ridurre rapidamente i risultati desiderati.

Esistono due modi per cercare un tag: cercarlo in tutti i campi o in un fielddialog specifico

  1. Se si desidera trovare un evento con un campo al quale è stato assegnato il tag "deny":
  2. screenshow_uploadLocal
  3. Se si desidera trovare solo gli eventi ai quali è stato assegnato il tag event type "deny":
  4. screenshow_uploadLocal

Ulteriori informazioni su Splunk Knowledge

Per sfruttare al meglio Splunk e ampliare le sue possibilità di utilizzo dei dati in modo da soddisfare le esigenze della propria azienda, consultare il Manuale di Knowledge Manager man mano che si ottimizza, si gestisce e si estende il deployment di Splunk nel tempo.

Il manuale di Knowledge Manager descrive:

  • Come gestire "oggetti knowledge" di Splunk come eventi, event type, campi, source type, tag e transazioni.
  • Le procedure ottimali per utilizzare i campi, compresi lookup e aliasing.
  • Le strategie per raggruppare in transazioni eventi concettualmente correlati.

Monitorare e inviare avvisi

Dopo aver utilizzato Splunk per identificare e localizzare i problemi nel proprio sistema, è possibile sfruttare le sue funzionalità di monitoraggio e creazioni di avvisi per essere informati dell'eventuale ripetersi di tali situazioni. È possibile salvare le ricerche in modo che vengano eseguite nel momento desiderato oppure configurare un avviso che esegua il monitoraggio automaticamente. Splunk consente di configurare gli avvisi in modo che vengano attivati quando i risultati della ricerca soddisfano determinate condizioni definite. È anche possibile creare avvisi in relazione a eventi che si verificano in tempo reale.

Salvare una ricerca

  1. Creare una ricerca che restituisca i risultati desiderati.
  2. Al termine della ricerca, selezionare "Salva ricerca" dal menu a tendina 'Salva' sotto la barra di ricerca:
  3. screenshow_uploadLocal
  4. Viene visualizzata la finestra di dialogo di salvataggio della ricerca.
  5. screenshow_uploadLocal
  6. Impostare ulteriori opzioni seguendo le altre istruzioni nella pagina.

Configurare un avviso

È possibile trasformare una ricerca in un avviso. Gli avvisi vengono inviati tramite email o RSS. È anche possibile configurare avvisi che eseguono uno script.

  1. Per configurare la ricerca come avviso, selezionare "Avviso" dal menu a tendina 'Crea' sotto la barra di ricerca:
  2. screenshow_uploadLocal
  3. Viene visualizzata la finestra di dialogo Crea avviso:
  4. screenshow_uploadLocal
  5. Seguire le istruzioni presenti nella finestra di dialogo per configurare uno o più metodi di avviso. Per consentire a Splunk di inviare email, assicurarsi che sul rispettivo server sia abilitato SendMail (o un altro MTA).

Creare report ed eseguire analisi

È possibile creare report utilizzando gli strumenti di visualizzazione integrati di Splunk. Splunk offre un'ampia gamma di opzioni a livello di creazione di report. È possibile creare semplici report dei "valori massimi nel tempo" direttamente dai risultati delle ricerche. Tramite il Generatore di report è possibile impostare e formattare grafici sofisticati o definire manualmente report attraverso gli efficienti comandi statistici di Splunk. Infine, è possibile creare rapidamente dashboard per condividere con altri i propri report migliori.

Creare un report semplice

Dopo aver eseguito una ricerca, è possibile creare rapidamente report utilizzando le informazioni di base sui campi presenti nei risultati della ricerca.

  1. Accedere all'app Ricerca.
  2. Eseguire la ricerca di un termine o un campo su cui creare un report.
  3. Al termine della ricerca, selezionare il campo nella barra laterale dei risultati della ricerca per il quale si desidera creare il report. Ad esempio, scegliere UID se si desidera creare un report su un gruppo di ID utente.
  4. screenshow_uploadLocal
  5. Viene visualizzata una finestra popup con le informazioni relative al campo selezionato. È possibile lanciare un report per ogni campo. Selezionare un report da eseguire, come "Media nel tempo" o "Primi valori complessivi".
  6. screenshow_uploadLocal
  7. Il Generatore di report viene visualizzato in una finestra distinta, che contiene un grafico basati sui dati evento restituiti dalla ricerca. In questa posizione è possibile riformattare il report, salvarlo, stamparlo ed eseguire altre operazioni.

Utilizzare il Generatore di report

Per creare e formattare i report, avviare il generatore di report.

  1. Accedere all'app Ricerca.
  2. Eseguire la ricerca di un termine o un campo su cui creare un report.
  3. Nel menu 'Crea' sulla sequenza temporale è presente un link per creare un report. Selezionare questo link per avviare il Generatore di report (non è necessario attendere il completamento della ricerca per avviare il Generatore di report).
  4. screenshow_uploadLocal
  5. È anche possibile creare un report direttamente dall'interno della vista sequenza temporale, selezionando il pulsante Grafico risultati nella parte superiore dell'area Risultati.
  6. screenshow_uploadLocal

Utilizzare i comandi di creazione report

Quando si utilizzano gli elenchi a discesa del Generatore di report per definire un report, la casella di ricerca del Generatore di report viene aggiornata con i comandi di creazione report statistici utilizzati da Splunk per eseguire il report stesso. Questa sezione illustra come utilizzare questi comandi di creazione report direttamente dalla barra di ricerca.

  1. Accedere all'app Ricerca.
  2. Eseguire la ricerca di un termine contenuto nei dati.
  3. Dopo i termini da cercare inserire una barra verticale e alcuni comandi di base per la creazione di report. Questo report di base, ad esempio, trova le 5 source più comuni nell'index interno di Splunk:
  4. screenshow_uploadLocal
  5. Selezionare il pulsante Grafico risultati sotto la sequenza temporale per visualizzare i risultati sotto forma di grafico. Per riformattare il report, è possibile utilizzare le 'Opzioni di formattazione'.
  6. Per creare un report più sofisticato, nel Manuale dell'utente di Splunk sono disponibili ulteriori informazioni sui comandi di creazione report.

Visualizzare anteprime di report

Quando si esegue un report, è possibile visualizzarne in anteprima i risultati mentre è in corso la ricerca. Questa funzionalità consente di risparmiare tempo, soprattutto quando vengono eseguite ricerche su periodi temporali molto estesi. Di default l'anteprima del report è abilitata per le ricerche che utilizzano comandi di creazione report, pertanto se ne consiglia l'utilizzo per un periodo temporale esteso.

  1. Accedere all'app Ricerca.
  2. Digitare una ricerca con generazione di report nella barra di ricerca.
  3. Durante l'esecuzione del report, ne viene visualizzata un'anteprima nell'area dei risultati.
  4. Se non si è soddisfatti del report e si desidera modificarlo prima del suo completamento, selezionare il pulsante Annulla e modificare la stringa di ricerca.

Creare dashboard

È possibile salvare e condividere le ricerche e i report creando una dashboard. Le dashboard rappresentano aree in cui riunire i report più utili e ricchi di contenuti per renderli disponibili ad altri utenti. È possibile creare una dashboard partendo da zero o in base ai report che vengono creati.

  1. Accedere all'app Ricerca.
  2. Se è già stata eseguita una ricerca o un report, sotto al menu Crea, la selezione di "Pannello dashboard" consentirà di aggiungere la ricerca o il report a una dashboard esistente oppure di creare una nuova dashboard.
  3. screenshow_uploadLocal

È anche possibile creare una dashboard partendo da zero.

  1. Dal menu Dashboard e viste selezionare "Crea dashboard":
  2. screenshow_uploadLocal
  3. Viene visualizzata la finestra Crea nuova dashboard. Assegnare alla dashboard un nome breve (ID dashboard) e un nome lungo (Nome dashboard). Quindi, selezionare Crea.
  4. Inizialmente la dashboard è vuota. Selezionare Modifica dashboard per aprire la finestra Modifica e scegliere il tipo di pannello e la ricerca salvata per il primo pannello. Selezionare Aggiungi pannello per aggiungere il nuovo pannello alla dashboard.
  5. Selezionare Modifica pannello per rinominare il pannello, modificarne il formato o aggiornare la ricerca su cui è basato.
  6. Ripetere gli ultimi due passaggi per creare altri pannelli. È possibile trascinarli in varie posizioni finché non sono configurati come si desidera.
  7. L'operazione è terminata. Selezionare Chiudi per visualizzare la dashboard. Per eseguire delle modifiche, accedere al menu Azione nella parte superiore della pagina e selezionare Modifica dashboard...

Altro

Per ulteriori informazioni sulle funzionalità di Splunk, si riportano di seguito ulteriori link alla documentazione presente online.