Splunk 教學 - Splunk Documentationdocs.splunk.com/images/d/db/Tutorial_zh_TW_502.pdf · 簡介歡迎使用 Splunk 教學！ Splunk 是什麼？ Splunk 是一個可從構成您

Splunk 5.0.2

Splunk 教教學學

產生時間：3/13/2013 8:05 am

Copyright (c) 2013 Splunk Inc. All Rights Reserved

5

5555

556666

6

667

77778

8889

10

1010101010

11111113

13

Table of Contents簡介簡介

歡迎使用歡迎使用 Splunk 教教學！學！Splunk 是什是什麼麼？？Splunk 的目標使用者是誰？的目標使用者是誰？本本教教學的內容學的內容為為何？何？

Splunk 的的概概觀觀檢索新資料檢索新資料搜尋與調搜尋與調查查獲取知識獲取知識自動監控自動監控分析與報告分析與報告

開始開始教教學前學前

使用本使用本教教學的準備工作學的準備工作系統需求系統需求Splunk 授權簡要說明授權簡要說明

下載與安裝下載與安裝 Splunk下載下載 Splunk在在 Linux 上安裝上安裝在在 Windows 上安裝上安裝在在 Mac OS X 上安裝上安裝

啟啟動動 Splunk 及及啟啟動動 Splunk Web在在 Windows 上上啟啟動動 Splunk在在 Unix 及及 Mac OS X 上上啟啟動動 Splunk啟啟動動 Splunk Web

將資料輸入到將資料輸入到 Splunk

關於輸入資料關於輸入資料Splunk 索引索引哪哪些類型的資料些類型的資料將資料輸入將資料輸入 Splunk 的方法的方法Splunk 儲存資料的位置儲存資料的位置應用套件與輸入應用套件與輸入

將樣本資料輸入到將樣本資料輸入到 Splunk下載樣本資料下載樣本資料檔檔案案將樣本資料新增至將樣本資料新增至 Splunk接下來的步驟接下來的步驟

搜尋與搜尋語言搜尋與搜尋語言

13

1314141515

1617181919

19191921

21212323

2323232628

2828293131

3131323333

33333435

35353637

關於本章關於本章

搜尋應用套件搜尋應用套件尋尋找找搜尋應用套件搜尋應用套件摘要儀表板摘要儀表板開始搜尋開始搜尋搜尋儀表板搜尋儀表板

開始搜尋開始搜尋關鍵字搜尋關鍵字搜尋使用布林運算子使用布林運算子進一步閱讀有關搜尋的資訊進一步閱讀有關搜尋的資訊接下來的步驟接下來的步驟

使用時間表使用時間表關於時間表選項關於時間表選項使用時間表調使用時間表調查查接下來的步驟接下來的步驟

變更時間範圍變更時間範圍選擇時間範圍選擇時間範圍更多時間範圍選項更多時間範圍選項接下來的步驟接下來的步驟

使用欄位進行搜尋使用欄位進行搜尋關於欄位的簡要說明關於欄位的簡要說明欄位側欄與對話方塊欄位側欄與對話方塊使用欄位執行更具目標性的搜尋使用欄位執行更具目標性的搜尋接下來的步驟接下來的步驟

使用搜尋語言使用搜尋語言使用搜尋助理建構搜尋使用搜尋助理建構搜尋深入檢視搜尋結果深入檢視搜尋結果重新設定搜尋結果格式重新設定搜尋結果格式接下來的步驟接下來的步驟

儲存搜尋儲存搜尋關於儲存搜尋關於儲存搜尋儲存搜尋儲存搜尋教教學學關於管理及排程搜尋關於管理及排程搜尋接下來的步驟接下來的步驟

使用子搜尋使用子搜尋範例範例 1：不使用子搜尋：不使用子搜尋範例範例 2：使用子搜尋：使用子搜尋接下來的步驟接下來的步驟

使用欄位使用欄位查查閱閱尋尋找查找查閱管理員閱管理員上傳上傳查查閱閱檔檔案案定義欄位定義欄位查查閱閱

38393940

40404041424344

44

44

4444444748495050

5050505455

5555565757

57

57

設定自動設定自動查查閱閱使用新使用新查查閱欄位進行搜尋閱欄位進行搜尋搜尋加速搜尋加速接下來的步驟接下來的步驟

更多搜尋範例更多搜尋範例搜尋參考手冊搜尋參考手冊範例範例 1 - 有多少要求的頁面檢視？有多少要求的頁面檢視？範例範例 2 - 頁面檢視與購買數之間的差異頁面檢視與購買數之間的差異為為何？何？範例範例 3 - 購買商品與購買數購買商品與購買數為為何？何？範例範例 4 - 有多少失敗的購買嘗試？有多少失敗的購買嘗試？接下來的步驟接下來的步驟

建立報告與儀表板建立報告與儀表板

關於報告與儀表板關於報告與儀表板

報告範例報告範例使用報告建立工具使用報告建立工具每個每個產產品的購買數與檢視數圖表品的購買數與檢視數圖表依依產產品名稱顯示最多購買數品名稱顯示最多購買數最多購買數趨勢最多購買數趨勢存取儲存的報告存取儲存的報告快速快速產產生報告生報告接下來的步驟接下來的步驟

儀表板範例儀表板範例建立儀表板面板建立儀表板面板儀表板儀表板 1：：鮮花禮品店鮮花禮品店產產品品儀表板儀表板 2：：鮮花禮品店作業鮮花禮品店作業接下來的步驟接下來的步驟

檢視與列印儀表板檢視與列印儀表板檢視儲存的儀表板檢視儲存的儀表板儀表板列印與儀表板列印與 PDF 選項選項更多關於整合更多關於整合 PDF 產產生的資訊生的資訊接下來的步驟接下來的步驟

更多更多 Splunk！！

接下來會發生什接下來會發生什麼麼？？

簡介簡介

歡迎使用歡迎使用 Splunk 教教學！學！

Splunk 是什是什麼麼？？

Splunk 是一個可從構成您 IT 基礎結構的應用套件、伺服器或網路裝置中檢索 IT 資料的軟體。此軟體是一個功能強大而且多樣化的搜尋與分析引擎，可讓您在單一位置調查、疑難排解、監控、警示及報告即時發生在整個 IT 基礎結構中的每一件事。

Splunk 的目標使用者是誰？的目標使用者是誰？

Splunk 是一款多功能軟體，因此有許多用途，可供許多不同類型的使用者使用。系統管理員、網路工程師、安全性分析師、開發人員、服務中心人員以及支援人員 -- 甚至是經理、副總與資訊長 -- 都可透過 Splunk 以更快更出色的方式完成工作。

應用套件支援人員可使用 Splunk 在應用套件環境中進行端對端調查與修復，並可建立警示和儀表板，以在整個服務中主動監控效能、可用性與商業度量。這些支援人員可以在進行支援期間使用角色來分離資料存取，並為應用套件開發人員提供一級支援，讓他們可以從生產記錄中存取所需要的資訊，而無需犧牲安全性。系統管理員和 IT 人員可使用 Splunk 來調查伺服器問題、瞭解其設定及監控使用者活動。之後，他們可將搜尋轉換為效能臨界點、關鍵系統錯誤與負載的主動式警示。高級網路工程師可使用 Splunk 來疑難排解逐步升級的問題、識別常規問題的指標事件與模式 (例如設定錯誤的路由器與鄰近變更)，並將對這些事件的搜尋轉換為主動式警示。安全性分析師與事件反應小組可使用 Splunk 來調查已標幟使用者的活動與敏感性資料的存取權、自動監控已知有害事件，及使用複雜的相互關聯透過搜尋來找出已知風險模式，例如暴力密碼破解攻擊、資料外洩甚至是應用套件層級詐騙。所有解決方案方面的管理員都可使用 Splunk 來建立報告與儀表板，以監控及摘要其 IT 基礎結構與商業的運作情況、效能、活動及功能。

本本教教學的內容學的內容為為何？何？

如果您第一次使用 Splunk，本教學將教導您開始使用 Splunk 需要瞭解的內容，從第一次下載到建立豐富的互動式儀表板全部包括在內。

取得取得 PDF 版版

如果您想要本手冊的 PDF 版本，請按一下本頁左側目錄下方的紅色的下載 Splunk 教學的 PDF 版本連結。按下連結後會隨即為您產生本手冊的 PDF 版，您可以儲存此版本或列印出來以供日後閱讀。

Splunk 的的概概觀觀Splunk 是一款功能強大且多樣化的的 IT 搜尋軟體，可讓您輕鬆追蹤及利用資料中心的資訊。如果您擁有 Splunk，則不需要複雜的資料庫、連接器、自訂剖析器或控制項 -- 您只需要有一個網頁瀏覽器和想像力就夠了。其餘的事情就交給 Splunk 處理。

使用 Splunk，您可以：

即時連續檢索所有 IT 資料。自動探索內嵌在您資料中的實用資訊，因此您無需自己識別資訊。在實體與虛擬 IT 基礎結構中搜尋您真正感興趣的內容並在短時間內取得結果。儲存搜尋及標記實用資訊，使您的系統更聰明。設定警示以自動為特定週期性事件進行系統監控。產生包含互動式圖表、圖形與表格的分析報告並與他人共用。與其他 Splunk 使用者共用儲存的搜尋與報告，並透過電子郵件將結果分散給小組成員和專案關係人。主動檢閱您的 IT 系統以在伺服器停機與安全性事件發生之前阻止問題。設計特定、資訊豐富，且符合您企業廣泛需求的檢視和儀表板。

檢索新資料檢索新資料

Splunk 提供各種具有彈性的資料輸入方法，可用來即時檢索您 IT 基礎結構中的所有內容，包括來自所有應用套件、伺服器和網路裝置的即時記錄檔、設定、陷阱與警示、訊息、指令碼、效能資料與統計資料。監控檔案系統中的指令

5

伺服器和網路裝置的即時記錄檔、設定、陷阱與警示、訊息、指令碼、效能資料與統計資料。監控檔案系統中的指令碼與設定變更。啟用對檔案系統或 Windows 登錄的變更監控。擷取封存檔案與 SNMP 陷阱資料。尋找及追蹤即時應用套件伺服器堆疊追蹤與資料庫稽核表。連線至網路連接埠來接收系統記錄與其他以網路為基礎的設備資訊。

無論您如何取得資料或無論資料格式為何，Splunk 都會以相同方式檢索 -- 而不使用任何要寫入或維護的特定剖析器或配接器。它可以將原始資料與豐富的索引儲存在有效、壓縮的檔案系統式資料存放區中 -- 如果您需要證明資料完整性，可使用選用的資料簽署與稽核。

搜尋與調搜尋與調查查

現在您的系統中已經有所有的資料...您要怎麼運用它？不妨從 Splunk 強大的搜尋功能開始，使用搜尋功能尋找所有一切，而非只是少數預先決定的欄位。結合時間與詞彙搜尋。跨越 IT 基礎結構的每一層尋找錯誤，數秒內就能追蹤到設定變更，以防系統發生故障。Splunk 可在您搜尋時識別出記錄中的欄位，並為您提供需提前設定嚴格欄位對應規則集的解決方案，讓您擁有史無前例的彈性。即使系統包含數 TB 的資料，Splunk 也可讓您精確搜尋。

獲取知識獲取知識

自由搜尋原始資料只是基本功能。您可以加入有關欄位、事件及交易的已知知識，以豐富資料內容並改善搜尋的焦點。標記高優先順序資產，並根據其商業功能或稽核需求附註事件。為一組相關伺服器錯誤標上一個單一標記，然後再想出一些搜尋方式使用該標記隔離牽涉到該組錯誤的事件並進行報告。儲存並共用經常執行的搜尋。Splunk 超越傳統的記錄管理方法，在搜尋時將知識對映至資料，而非提前標準化資料。它可讓您在您組織所使用的 Splunk 應用套件範圍內共用搜尋、報告及儀表板。

自動監控自動監控

任何搜尋都可以排程執行，且可以將已排程搜尋設為在發生特定條件時觸發通知。此自動警示功能適用於您整個 IT基礎結構中大範圍的元件與技術 -- 從應用套件到防火牆到存取控制。讓 Splunk 透過電子郵件或 SNMP 將通知傳送至其他管理主控台。安排警示動作以觸發執行重新啟動應用套件、伺服器或網路裝置或開啟回報系統等活動的指令碼。為已知有害事件設定警示，然後透過搜尋使用複雜的相互關聯找出已知風險模式，例如暴力密碼破解攻擊、資料外洩甚至是應用套件層級詐騙。

分析與報告分析與報告

Splunk 可快速分析大量資料，因此可讓您以互動式圖表、圖形及表格的格式摘要任何搜尋結果集。立即產生使用統計命令的報告，以取得期間內的趨勢衡量標準、比較最大值，以及對最常用與最不常用的條件類型進行報告。以互動式折線圖、長條圖、直條圖、圓餅圖、散佈圖與熱度圖視覺化報告結果。

Splunk 提供各種方法，讓您與小組成員和專案關係人共用報告。您可以排程報告以定期間隔執行，並讓 Splunk 透過電子郵件將每個報告傳送給感興趣的人、列印報告、將報告儲存到經常執行報告的社群集合，以及將報告新增至特定儀表板，以供快速參考。

開始開始教教學前學前

使用本使用本教教學的準備工作學的準備工作

您需要先下載、安裝及啟動 Splunk 執行個體，才可開始使用 Splunk。不過，不用擔心 -- 這只需要約 5 分鐘的時間！

如果您已擁有對執行中 Splunk 伺服器的存取權限，請向下跳到 [將資料新增至 Splunk]，並從那裡開始。

系統需求系統需求

Splunk 可在大多數計算平台上執行，但是本教學將特別著重於 Splunk 的 Windows 與 Mac OS X 版本。當然，無論您選擇在哪種平台上執行，它還是 Splunk，您應該能夠從啟動 Splunk 開始遵循需求執行。

雖然您在本機電腦上安裝 Splunk 軟體，但需透過網頁瀏覽器存取 Splunk。 Splunk 支援最新版本的 Firefox、Chrome 與 Safari，以及 Internet Explorer 6、7、8 與 9。

Splunk 是高效能應用套件，但是在本教學中，您實際上只需要至少符合下列規格的一台 Windows 或 Mac 電腦：

平台支援的最小硬體容量

非 Windows 平台 1x1.4 GHz CPU，1 GB RAM

Windows 平台 Pentium 4 或相當於 2Ghz，2GB RAM

6

如需規格的完整清單，請參閱《安裝手冊》中的＜系統需求＞主題。

Splunk 授權簡要說明授權簡要說明

Splunk 使用 Enterprise 授權或 Free 授權執行。在第一次下載 Splunk 時，您會取得將在 60 天後過期的 Enterprise試用版授權。此試用版授權每天可索引 500 MB，並具有所有 Enterprise 功能。

安裝 Splunk 之後，您可以使用 Enterprise 試用版授權執行，直到過期為止，也可以切換至永久 Free 授權 (已內含！)，或者購買 Enterprise 授權。

進一步閱讀《管理員手冊》中的＜Splunk 授權類型＞。

下載與安裝下載與安裝 SplunkSplunk 支援在 Unix、Windows 以及 Mac OS X 作業系統上安裝。如需所支援作業系統的完整清單，請參閱《安裝手冊》中的＜系統需求＞主題。

本主題會簡要介紹如何下載 Splunk 以及如何在 Linux、Windows 及 Mac OS X 上安裝。對於其他所有支援的作業系統，請參閱《安裝手冊》中的＜逐步安裝指示＞。

下載下載 Splunk

從下載頁面下載最新版本的 Splunk。

Splunk 為 Linux 提供三種安裝選項：適用於 RedHat 的 RPM 下載、適用於 Debian Linux 的 DEB 套件，以及tar 檔案安裝程式。有兩個 Windows 安裝程式，MSI 檔案以及壓縮的 zip 檔案。在本教學中，會使用 MSI 檔案圖形安裝程式。有兩個 Mac OS X 安裝程式，DMG 套件以及 tar 檔案安裝程式；在本教學中，會使用 DMG 隨附的圖形安裝程式。

註：如果您未登入 Splunk.com，按一下下載套件會將您重新導向註冊表單。如果您沒有 Splunk.com 帳戶，請註冊帳戶。

在在 Linux 上安裝上安裝

您可使用命令列介面 (CLI) 在 Linux 作業系統上安裝 Splunk。如需如何存取命令列介面的相關資訊，請參閱《管理員手冊》的＜關於命令列介面＞。

依照預設，在 Linux 上，Splunk 會安裝到 /opt/splunk 目錄。

若要安裝 Splunk RPM，請在命令列介面中輸入下列命令。如果您要將 Splunk 安裝到不同的目錄，請使用選用的 --prefix 旗標。

rpm -i --prefix=/opt/new_directory splunk_package_name.rpm

若要安裝 Splunk DEB 套件，請在命令列介面中輸入下列命令。您只能將 Splunk DEB 安裝到預設的 /opt/splunk目錄。

dpkg -i splunk_package_name.deb

若要使用壓縮的 tar 檔案安裝 Splunk，請使用 tar 命令將檔案展開至適當的目錄。預設安裝目錄為目前工作目錄中的 /splunk。若要安裝到特定目錄，例如 /opt/splunk，請使用 -C 選項：

tar xvzf splunk_package_name.tgz -C /opt

如需在 Linux 上安裝 Splunk 的更詳細指示，請參閱《安裝手冊》中的＜Linux 逐步安裝指示＞。

在在 Windows 上安裝上安裝

1. 若要啟動安裝程式，請按兩下 splunk.msi 檔案。

2. 在 [歡迎] 面板中，按一下 [下一步]。

3. 閱讀授權合約，並勾選 [我接受授權合約中的條款] 旁邊的方塊。按一下 [下一步] 繼續安裝。

4. 在 [客戶資訊] 中，輸入要求的詳細資訊，然後按一下 [下一步]。

7

5. 在 [目的地資料夾] 面板中，按一下 [變更...] 指定要安裝 Splunk 的其他位置，或按一下 [下一步] 接受預設值。

依照預設，會將 Splunk 安裝到 \Program Files\Splunk 目錄中。

系統便會顯示 [登入資訊] 面板。

6. 在 [登入資訊] 面板中，選擇 [本機系統使用者]，然後按一下 [下一步]。

如果您想要瞭解其他使用者選項，請參閱在 Windows 上安裝 Splunk 的詳細指示。

7. 指定使用者後，系統便會顯示預先安裝摘要面板。按一下 [安裝] 繼續。

8. 現在，在 [安裝完成] 面板中，勾選 [使用 Splunk 啟動瀏覽器] 與 [建立開始功能表捷徑] 方塊。

9. 按一下 [完成]。

安裝完成，Splunk 會啟動，且 Splunk Web 會在支援的瀏覽器中啟動。

在在 Mac OS X 上安裝上安裝

1. 按兩下 DMG 檔案。

2. 在 [尋找工具] 視窗中，按兩下 splunk.pkg。

系統便會開啟 Splunk 安裝程式並顯示 [簡介]。

3. 按一下 [繼續]。

4. 在 [選擇目的地] 視窗中，選擇要安裝 Splunk 的位置。

若要安裝在預設目錄 /Applications/splunk 中，請按一下硬碟圖示。若要選擇其他位置，請按一下 [選擇資料夾...]

5. 按一下 [繼續]。

系統便會顯示預先安裝摘要。如果您需要進行變更，

按一下 [變更安裝位置] 選擇新資料夾，或按一下 [上一步] 返回上一個步驟。

6. 按一下 [安裝]。

安裝將會開始。這可能會花費幾分鐘的時間。

7. 安裝完成後，按一下 [完成]。

安裝完成，現在您已準備啟動 Splunk。

啟啟動動 Splunk 及及啟啟動動 Splunk Web啟動 Splunk 時，會在主機上啟動兩個程序，即 splunkd 與 splunkweb：

splunkd 是分散式 C/C++ 伺服器，可存取、處理與索引串流電腦資料及處理搜尋要求。splunkweb 是以 Python 為基礎的應用套件伺服器，可提供 Splunk Web 介面，您可以使用該介面搜尋及巡覽電腦資料並管理 Splunk 部署。

在在 Windows 上上啟啟動動 Splunk

若要在 Windows 上啟動 Splunk，您有三個選擇：

從 [開始] 功能表啟動 Splunk。使用 Windows 服務管理員啟動及停止 splunkd 與 splunkweb。開啟 cmd 視窗，前往 \Program Files\Splunk\bin 並輸入

> splunk start

在在 Unix 及及 Mac OS X 上上啟啟動動 Splunk

8

使用命令列介面 (CLI)：

$SPLUNK_HOME/bin/splunk start

$SPLUNK_HOME 是 Splunk 的安裝目錄。在 Unix 上，該目錄可能是 /opt/splunk；在 Mac OS X 上，則可能是/Applications/splunk/bin/：

如果您擁有管理員或根權限，您可以透過設定 Splunk 環境變數，簡化命令列介面的使用。如需有關執行此操作的詳細資訊，請參閱《管理員手冊》中的＜關於命令列介面＞。

接受 Splunk 授權

在您執行啟動命令後，Splunk 會顯示授權合約，並提示您接受授權才能繼續啟動。

接受授權後，系統便會顯示啟動序列。最後 Splunk 會告訴您存取 Splunk Web 的位置：

The Splunk Web interface is at http://localhost:8000

如果您在啟動 Splunk 時遇到任何問題，請參閱《安裝手冊》中的＜第一次啟動 Splunk＞。

您可能需要的其他命令

如果您需要停止、重新啟動或檢查 Splunk 伺服器的狀態，請使用以下命令列介面命令：

$ splunk stop$ splunk restart$ splunk status

啟啟動動 Splunk Web

Splunk 的介面會作為 Web 伺服器執行，且在啟動後，Splunk 會告訴您 Splunk Web 介面的位置。開啟瀏覽器，然後巡覽至該位置。

Splunk Web 預設在安裝它的主機的連接埠 8000 上執行。如果您在本機電腦上使用 Splunk，存取 Splunk Web 的URL 為 http://localhost:8000。

如果您使用 Enterprise 授權，第一次啟動 Splunk 會帶您前往此登入畫面。遵循訊息以使用預設認證進行驗證：

如果您使用 Free 授權，則不需驗證便可使用 Splunk。在此情況下，當您啟動 Splunk 時，不會看到此登入畫面。而是直接帶您前往 [Splunk 主目錄] 或設為帳戶預設應用套件的任何項目。

當您使用預設密碼登入時，Splunk 會要求您建立新密碼。

9

您可以 [略過] 此步驟，或變更您的密碼以繼續。

將資料輸入到將資料輸入到 Splunk

關於輸入資料關於輸入資料

使用 Splunk 時，您可以使用 Splunk 索引中的資料。

請參閱：

瞭解 Splunk 索引的資料類型。將樣本資料新增至 Splunk 索引。

Splunk 索引索引哪哪些類型的資料些類型的資料

Splunk 可以從任何來源即時索引任何電腦資料。將您伺服器或網路裝置的系統記錄指向 Splunk、設定 WMI 輪詢、監控任何應用套件的記錄檔、啟用對檔案系統或 Windows 登錄的變更監控、排程指令碼以擷取系統衡量標準等。無論您如何取得資料或無論資料格式為何，Splunk 都會以相同方式檢索 — 而不使用任何要寫入或維護的特定剖析器或配接器。它可以將原始資料與豐富的索引儲存在有效、壓縮的檔案系統式資料存放區中 — 如果您需要證明資料完整性，可使用選用的資料簽署與稽核。

本教學只討論一種輸入類型，即上傳本機檔案，您在整個教學中只需要執行此操作。如需有關 Splunk 可以處理的其他所有資料輸入類型及如何進行新增的資訊，請參閱《輸入資料手冊》，從＜Splunk 索引的內容＞主題開始閱讀。

將資料輸入將資料輸入 Splunk 的方法的方法

將資料新增至 Splunk 時，您可以選擇各種彈性的輸入方法：Splunk Web、Splunk 的命令列介面以及 inputs.conf 設定檔。

您可以使用 Splunk Web 新增大多數資料來源。如果您可以存取設定檔，則可以使用擁有更多設定選項的inputs.conf。您使用 Splunk Web 或 Splunk 命令列介面進行的任何變更都會寫入 inputs.conf。

＜將樣本資料新增至 Splunk 索引＞主題簡要說明使用 Splunk Web 新增資料的一般程序。如需有關設定輸入的更多特定資訊，請參閱《輸入資料手冊》中的＜Splunk 索引的內容＞一章。

Splunk 儲存資料的位置儲存資料的位置

您會注意到我們使用「索引」一詞表示兩個不同的方面。首先也是最重要的，當 Splunk 索引新資料時，它會處理原始資料以使其可供搜尋。其次，當我們討論 Splunk 索引時，我們是指 Splunk 儲存全部或部分資料的資料儲存區。因此，當您索引新資料時，Splunk 會將資料儲存在索引中。此外，當您搜尋時，即是比對一或多個索引中的資料。

應用套件與輸入應用套件與輸入

當您將輸入新增至 Splunk 時，便會相對於您正在使用的應用套件新增該輸入。某些應用套件會將輸入資料寫入至其特定的索引中 (例如，Splunk App for Unix and Linux 會使用「os」索引)。如果找不到您確定位於 Splunk 的資料，請確定您正在搜尋正確的索引。

對於 Splunk 使用者而言，這是在您開始搜尋及進一步瞭解資料前，需要瞭解的全部內容。如果您想要進一步閱讀有關管理索引中資料的更多資訊，請參閱《管理索引器與叢集手冊》中的＜索引概觀＞一章。

10

將樣本資料輸入到將樣本資料輸入到 Splunk本主題假設您已下載、安裝及啟動 Splunk 伺服器。如果您未執行這些操作，請返回上一個主題，以取得執行該操作的指示。

在啟動並登入 Splunk 後，您需要為其提供您可以搜尋的資料。本主題會引導您下載樣本資料集並將其新增至Splunk。

下載樣本資料下載樣本資料檔檔案案

本教學使用虛構線上商店 (鮮花禮品店) 的樣本資料，教導您有關使用 Splunk 的內容。樣本資料包括：

Apache 網站伺服器記錄mySQL 資料庫記錄

您可以從檔案與目錄、網路連接埠以及自訂指令碼輸入 Splunk 資料，但是在本教學中，您會將壓縮檔直接上傳到Splunk。此外，本教學的設計目的是在幾小時內完成。但是，如果您想要分幾天完成，只需下載新樣本資料檔案並進行新增！

若要繼續本教學，請從下列位置下載 (但請勿解壓縮) 樣本資料：sampledata.zip 此樣本資料檔案每天都會更新。

將樣本資料新增至將樣本資料新增至 Splunk

登入 Splunk 會帶您前往 [Splunk 主目錄]。如果 [Splunk 主目錄] 不是您看到的第一個檢視畫面，請使用 [應用套件]清單選擇 [主目錄]。

1. 在 [Splunk 主目錄] 中，按一下 [新增資料]。

它會帶您前往 [將資料新增至 Splunk] 對話方塊，您可以在此 [選擇資料類型] 以進行新增，[或選擇資料來源]。

2. 在 [或選擇資料來源] 下方，按一下 [從檔案和目錄]。

這會帶您前往 [預覽資料] 對話方塊，該對話方塊可讓您在將資料新增至 Splunk 索引前進行預覽。針對本教學的目

11

的，您不需要執行此操作。如果您想要進一步閱讀有關資料預覽的資訊，請參閱《輸入資料手冊》中的＜資料預覽概觀＞。

3. 選擇 [略過預覽] 並按一下 [繼續]。

這會帶您前往 [主目錄] > [新增資料] > [檔案和目錄] > [新增] 檢視。這是您將上傳樣本資料檔案的位置。通常，這便是您需要執行的所有操作，Splunk 會處理其餘事項，且不需要任何變更。但針對本教學的目的，您也會編輯某些屬性。

4. 在 [來源] 下方，選擇 [上傳及索引檔案]，然後瀏覽您剛才下載的樣本資料檔案。

事件的 source 會告訴您其來源。如果您從檔案與目錄收集資料，則「來源」是檔案或目錄的完整路徑名稱。如果是以網路為基礎的來源，則來源為通訊協定及連接埠，例如 UDP:514。

5. 選擇 [更多設定]。

這可讓您針對 [主機]、[來源類型] 與 [索引] 覆寫 Splunk 的預設設定。

事件的主機值通常是事件來源的網路主機主機名稱、IP 位址或完全合格的網域名稱。如果您查看 Sampledata.zip 檔案，會發現它包含四個目錄 (資料夾)：其中三個資料夾以 Apache 網站伺服器命名，另一個則是 MySQL 伺服器。

事件的來源類型通常根據資料的格式，告訴您資料的類型為何。來源類型的範例為 access_combined 或cisco_syslog。此分類可讓您在多個來源與主機中搜尋相同類型的資料。如需有關 Splunk 來源如何分類資料的更多資訊，請參閱《輸入資料手冊》中的＜為什麼來源類型很重要＞。

索引設定會告訴您 Splunk 放置資料的位置。依照預設，其儲存在 main 中，但如果您擁有許多類型，則可能要考慮將資料分割為不同的索引。如需有關建立自訂索引的更多資訊，請參閱《管理索引器與叢集手冊》中的＜設定多個索引＞。

在本教學中，您只需要變更 [主機] 設定。

6. 在 [主機] 與 [設定主機] 下方，選擇 [針對路徑使用 regex]。

您想要讓 host 值符合 Sampledata.zip 中包含的資料夾名稱。您可以透過選擇 [針對路徑使用 regex]，要求 Splunk 使用規則運算式 (regex) 比對壓縮檔中的路徑區段，並將該區段設為主機值。

12

7. 在 [規則運算式] 下方，複製並貼上：

適用於 Linux\Unix：

Sampledata.zip:./([^/]+)/

適用於 Windows：

Sampledata.zip:.\\([^/]+)/

此 regex 應符合 (Linux/Unix) Sampledata.zip/ 或 (Windows) Sampledata.zip\ 下區段路徑中的任何字元。

8. 按一下 [儲存]。

完成後，Splunk 會顯示表示已成功上傳的訊息。

接下來的步驟接下來的步驟

按一下 [開始搜尋]，並繼續本教學中的下一個主題，以在 [搜尋] 應用套件中查看資料。

搜尋與搜尋語言搜尋與搜尋語言

關於本章關於本章

現在您已將樣本資料新增至 Splunk，準備開始搜尋該資料。

《Splunk 教學》的這一章：

介紹 [搜尋] 應用套件。引導您在 Splunk 中進行搜尋，從關鍵字與字詞開始，然後深入到指定時間範圍、欄位以及使用搜尋語言。討論如何儲存搜尋與再次存取該搜尋。提供更多搜尋範例，包括如何撰寫子搜尋、使用事件的欄位查閱豐富事件等。

首先，讓我們瞭解 [搜尋] 應用套件。

搜尋應用套件搜尋應用套件13

本主題假設您已新增線上鮮花禮品店的樣本資料。如果您未執行該操作，請返回新增資料教學執行此操作，再繼續進行。

當您在 Splunk 中擁有樣本資料後，便準備開始搜尋。本主題為您介紹 [搜尋] 應用套件，此應用套件是 Splunk 用於搜尋及分析資料的預設介面。如果您已熟悉搜尋介面，您可以先略過並開始搜尋。

尋尋找找搜尋應用套件搜尋應用套件

請從右上角系統導覽列的 [應用套件] 清單中，從 Splunk 的任意位置存取 [搜尋] 應用套件。

如果無法使用 [應用套件] 清單，請按一下頁面左上角的 [<< 回到主目錄] 連結：

當您返回 [主目錄] 後，請從 [應用套件] 清單選擇 [搜尋]。您在 [搜尋] 應用套件中看到的第一個檢視是 [摘要] 儀表板。

摘要儀表板摘要儀表板

[摘要] 儀表板顯示您剛才上傳到此 Splunk 伺服器的資料相關資訊，並為您提供開始搜尋此資料的方法。

此儀表板上顯示的衡量標準由儲存的搜尋產生，該搜尋在您存取及重新載入此頁面時在後台執行。(在本教學結束時，您可以執行搜尋、儲存搜尋，以及使用這些搜尋建立您自己的儀表板，且與此儀表板很類似)。

此儀表板的內容此儀表板的內容為為何？何？

使用 [搜尋應用套件導覽列] 找到並存取 [搜尋] 應用套件中的其他儀表板，包括 [摘要] (您現在的位置) 與 [搜尋] (您將執行大多數搜尋的位置)。當您按一下連結時，Splunk 會帶您前往各自的儀表板，如果您已位於該儀表板，則會重新整理頁面。

導覽列中的功能表項目：

[狀態]：使用此功能表可存取監控 Splunk 執行個體索引狀態與伺服器活動的儀表板。[儀表板和檢視]：使用此功能表可存取 [搜尋] 應用套件中的其他儀表板。[搜尋與報告]：使用此功能表可存取及管理所有儲存的搜尋與報告。

14

儀表板中的其他項目：

搜尋列使用搜尋列輸入搜尋字串。時間範圍選取器：選擇抓取事件的時間範圍。[所有索引資料] 面板：顯示有關索引事件資料的衡量標準，其中包括您在 Splunk 索引中擁有的事件總數，以及最早與最晚索引事件的時間戳記。其也會告訴您上次重新整理此資料的時間 (或上次重新載入此儀表板的時間)。[來源] 面板：顯示 Splunk 伺服器上資料的前幾個來源。[來源類型] 面板：顯示 Splunk 伺服器資料的前幾個來源類型。[主機]：顯示 Splunk 伺服器資料的前幾個主機。

開始搜尋開始搜尋

如果您在本教學中使用最近安裝的 Splunk 伺服器，則只會看到剛才上傳的樣本資料檔案。由於這是只上傳一次的檔案，此資料將不會變更。當您新增更多檔案時，此儀表板上會有更多資訊。如果您新增指向非靜態來源的資料輸入(例如應用套件要寫入的記錄檔)，從您的來源傳入更多資料時，將變更 [摘要] 頁面上的數字。

如果您使用在企業環境中部署的共用或預先安裝 Splunk 伺服器，您可能會在此儀表板上看到更多資訊。

1. 仔細查看 [摘要] 儀表板。

在 [來源] 面板中，您應該會看到剛才上傳的線上鮮花禮品店資料的三個 Apache 網站伺服器記錄與一個 mySQL 資料庫記錄。如果您熟悉 Apache 網站伺服器記錄，您可能會將 access_combined_wcookie [來源類型] 識別為其中一種與網路存取記錄相關聯的記錄格式。此來源類型的所有資料都會為您提供存取鮮花禮品店網站的人員相關資訊。

Splunk 中的搜尋極具互動性。雖然 [摘要] 儀表板中有搜尋列，但您不需要在其中輸入任何內容。[摘要] 儀表板中列出的每個來源、來源類型與主機都是連結，當您按一下時便會開始搜尋。

2. 在 [搜尋類型] 面板中，按一下 access_combined_wcookie。

Splunk 會帶您前往 [搜尋] 儀表板，它會在該儀表板中執行搜尋，並為您顯示結果。

搜尋儀表板搜尋儀表板

此檢視中有許多元件，在繼續搜尋前，讓我們先看一下這些元件。

15

此搜尋儀表板的內容此搜尋儀表板的內容為為何？何？

您應該很熟悉搜尋列與時間範圍挑選器 -- [摘要] 儀表板中也有這兩項功能。但是，現在您也會看到事件數、時間表、欄位功能表，以及抓取事件或搜尋結果的清單。

[搜尋模式]：使用 [搜尋模式] 可控制搜尋體驗。您可以透過減少搜尋模式傳回的事件資料，將其設為加速搜尋([快速] 模式)，也可以將其設為盡可能傳回最多事件資訊 ([詳細] 模式)。在 [智慧] 模式 (預設設定) 中，它會根據您執行的搜尋類型自動切換搜尋行為。如需更多資訊，請參閱《搜尋手冊》中的＜設定搜尋模式以調整搜尋體驗＞。搜尋動作：使用這些按鈕可在搜尋完成前控制搜尋工作，或在搜尋完成後對結果執行動作。如果無法使用該按鈕，其將處於非作用中狀態，並以灰色顯示。

如果您正在執行花費很長時間完成的搜尋，您可能要：[傳送至背景]、[暫停]、[結束]、[取消] 或 [檢查]。搜尋完成後，您可以 [列印] 結果。使用 [儲存] 功能表針對搜尋與搜尋結果存取儲存選項。使用 [建立] 功能表建立儀表板、警示、報告等。

符合事件數與已掃描事件數：當執行搜尋時，Splunk 會在抓取事件時顯示兩個執行中的事件數：一個是符合事件數，另一個是已掃描事件數。當搜尋完成時，顯示在時間表上方的計數會顯示符合事件總數。顯示在時間表下方與事件清單上方的計數會告訴您所選時間範圍內的事件數。稍後在您深入檢視調查時，我們會看到此數字變更。事件時間表：時間表以視覺方式表現出各時間點發生的事件數。當時間表隨搜尋結果更新時，您可能會注意到長條的叢集或模式。每個長條的高度表示事件數。時間表中的高點與低點可表示活動尖峰或伺服器停機時間。因此，時間表對於強調事件模式或調查事件活動中的高點與低點非常實用。時間表選項位於時間表上方。您可以放大、縮小和變更圖表刻度。欄位側欄：當您索引資料時，依照預設，Splunk 會從名稱與值配對格式的資料 (我們稱為欄位) 中自動識別及擷取資訊。當您執行搜尋時，Splunk 會在搜尋結果旁邊的欄位側欄中，列出其識別的所有欄位。您可以選擇要在事件中顯示的其他欄位。此外，您也可以隱藏此側欄，以最大化結果區域。

[所選欄位] 是設為在搜尋結果中顯示的欄位。依照預設，會顯示 host、source 與 sourcetype。[關注欄位] 是 Splunk 從搜尋結果擷取的其他欄位。

結果區域：結果區域位於時間表下方，顯示 Splunk 抓取以符合您搜尋的事件。依照預設，結果會顯示為事件清單，從最近的事件開始排列。您可以使用面板左上方的圖示，以表格 (按一下 [表格] 圖示) 或圖表 (按一下 [圖表] 圖示) 檢視結果。如果您想要匯出搜尋結果，請使用 [匯出] 按鈕。您可以將輸出格式指定為 CSV、原始事件、XML 或JSON。選擇 [選項] 可變更事件在結果區域中的顯示方式，例如：換行結果、顯示或隱藏列號等。

開始搜尋開始搜尋

本主題會引導您使用 [搜尋] 介面進行簡單搜尋。如果您不熟悉搜尋介面，請返回 [搜尋] 應用套件教學，再繼續進行。

背景故事：您是線上鮮花禮品店客戶支援小組的成員。這是您工作的第一天。您想要進一步瞭解該商店。您想要取得下列問題的答案：

該商店銷售哪些商品？每件商品的價格為何？有多少人造訪該網站？今天有多少人購買商品？每天最受歡迎的購買商品為何？

16

這是您在線上鮮花禮品店客戶支援小組工作的第一天。您剛開始瞭解商店的網路存取記錄時，便接到客戶電話投訴在為女友購買禮品時發生問題 -- 當他嘗試完成購買時，不斷發生伺服器錯誤。他提供他的 IP 位址 10.2.1.44。

關鍵字搜尋關鍵字搜尋

Splunk 中所有內容都可搜尋。您不必熟悉資料中的資訊，因為在 Splunk 中搜尋的形式很自由，只要簡單地在搜尋列中輸入關鍵字並按下 Enter (或按一下搜尋列末端的綠色箭頭)。

預輸入提示或搜尋助理預輸入提示或搜尋助理

在之前的主題中，您可以按一下網路存取來源類型 (access_combined_wcookie)，從 [摘要] 儀表板執行搜尋。使用相同的搜尋可尋找此客戶在線上鮮花禮品店的最近存取歷程記錄。

1. 在搜尋列中輸入客戶的 IP 位址：

sourcetype="access_combined_wcookie" 10.2.1.44

當您在搜尋列中輸入時，便會開啟 Splunk 的搜尋助理。

當您在搜尋列中輸入每個關鍵字時，搜尋助理會顯示關鍵字的預輸入提示，或是內容相關式符合項目與完成項目。這些內容相關式符合項目是根據您資料中的內容而定。在相符的詞彙下的項目會隨著您繼續輸入而更新，因為詞彙的可能完成項目也會變更。

搜尋助理也會針對搜尋詞彙顯示符合項目的數目。此數字可讓您知道 Splunk 將傳回多少個搜尋結果。如果資料中沒有詞彙或字詞，您不會看到搜尋助理列出詞彙或字詞。

現在，請忽略右側面板上內容相關式說明旁邊的所有內容。在您開始瞭解搜尋語言時，搜尋助理會更多的使用方式，您稍後便會看到。如果您不想要開啟搜尋助理，請按一下 [關閉自動開啟]，然後使用搜尋列下方的綠色箭頭關閉視窗。

更多關鍵字搜尋更多關鍵字搜尋

2. 如果您沒有客戶的 IP 位址，請針對 IP 位址執行搜尋。(點擊 Enter。)

Splunk 會抓取客戶的線上鮮花禮品店存取歷程記錄。時間表也會更新，但我們稍後才會說明此部分。現在，讓我們看一下搜尋結果。

每次您執行搜尋時，Splunk 都會在搜尋結果中強調您在搜尋列中輸入的內容。

3. 瀏覽搜尋結果。

您應該會識別出事件中與線上商店相關的字詞 (鮮花、產品、購買等)。

17

客戶提到他正在購買禮品，因此讓我們看一下搜尋「purchase」會找到內容。

4. 在搜尋列中輸入 purchase，然後執行搜尋：

sourcetype="access_combined_wcookie" 10.2.1.44 purchase

當您搜尋關鍵字時，搜尋不區分大小寫，且 Splunk 會從事件資料原始文字的任意位置抓取包含這些關鍵字的事件。

在 Splunk 抓取的結果中有顯示客戶每次嘗試從線上商店購買商品的事件。看來他很忙！

使用布林運算子使用布林運算子

如果您熟悉 Apache 伺服器記錄，在 access_combined 格式下，您會注意到大多數事件的 HTTP 狀態都是 200 或成功。現在您不必關注這些事件，因為客戶報告的是問題。

Splunk 支援以下的布林運算子：AND、OR 與 NOT。當您在搜尋中包含布林運算式時，運算子必須大寫。

5. 使用布林運算子 NOT 快速移除所有「成功」頁面要求。輸入：

sourcetype="access_combined_wcookie" 10.2.1.44 purchase NOT 200

兩個搜尋詞彙之間一律隱含 AND 運算子。因此，步驟 5 中的搜尋和以下搜尋相同：

sourcetype="access_combined_wcookie" AND 10.2.1.44 AND purchase NOT 200

您會注意到客戶遇到 HTTP 伺服器 (503) 與用戶端 (404) 錯誤。但是，他明確提到伺服器錯誤，所以讓我們快速移除不相關的事件。

將布林子句以互動方式快速新增到搜尋的另一個方式是使用搜尋結果。Splunk 可讓您使用鍵盤與滑鼠，從搜尋結果反白及選擇要以互動方式快速新增、移除及排除的任何區段：

若要新增更多搜尋詞彙，請從搜尋結果中反白並按一下您想要的字詞。(此操作會在步驟 6 中示範。)若要從搜尋移除詞彙，請在搜尋結果中按一下該字詞的強調執行個體。若要從搜尋結果排除事件，請按下 alt 鍵並按一下您不想要讓 Splunk 比對的詞彙。

6. 將滑鼠移至搜尋結果中的「404」執行個體上，按下 alt 鍵並按一下。

這會以「NOT 404」更新搜尋字串，並篩選包含該詞彙的所有事件。

18

您可以從這些結果看到每次客戶嘗試完成購買，卻收到伺服器錯誤。現在您已確認客戶報告的內容，便可以繼續深入檢視以找出根本原因。

進一步閱讀有關搜尋的資訊進一步閱讀有關搜尋的資訊

執行搜尋時，您會隱含使用搜尋命令，從 Splunk 索引抓取事件。搜尋命令可讓您使用關鍵字、字詞、欄位、布林運算式與比較運算式，確切指定您要抓取哪些事件。本主題討論使用關鍵字與布林運算式進行搜尋。本教學稍後會有主題介紹如何使用時間、欄位與搜尋語言。

本教學中不會討論如何將比較運算式與運算子用於確切字詞比對、TERM() 與 CASE()。請在《搜尋手冊》中＜抓取事件＞一章的＜使用搜尋命令＞中進一步瞭解這些方法。


當您準備繼續時，請前往下一個主題，瞭解如何在 Splunk 中使用時間表以互動方式進行調查與疑難排解。

使用時間表使用時間表

本主題假設您習慣執行簡單搜尋以抓取事件。如果您不確定是否熟悉使用方法，請返回上一個主題，在該主題中您使用關鍵字、萬用字元與布林值進行搜尋以確定錯誤。

關於時間表選項關於時間表選項

時間表位於搜尋列與時間範圍選取器下方。您可以使用時間表上方的選項執行以下操作

[隱藏] 時間表。[縮小] 以在時間表中檢視更多事件 (這會變更在時間表中顯示的時間範圍)。如果選擇事件的子集，您也可以 [縮放以選擇] (這也會變更在時間表中顯示的時間範圍)。將時間表刻度從預設的 [線性刻度] 變更為 [對數刻度]。

時間表刻度旁邊的圖例可告訴您時間表上顯示每個長條的跨距。跨距取決於搜尋的時間範圍；例如，如果您搜尋的時間範圍為 24 小時，則跨距為 1 bar = 1 hour。然後，如果 [縮小]，時間表會顯示更多事件，且跨距為 1 bar = 1day。

使用時間表調使用時間表調查查

讓我們回到鮮花禮品店，繼續關注您所協助的客戶 (10.2.1.44)。他報告在為女友購買禮品時遇到錯誤。您已確認他的錯誤，現在您想要找出錯誤的原因。

繼續上一個搜尋，該搜尋為您顯示客戶的失敗購買嘗試。

1. 搜尋：

sourcetype="access_combined_wcookie" 10.2.1.44 purchase NOT 200 NOT 404

在上一個主題中，您實際上只專注於此儀表板的事件檢視器區域中列出的搜尋結果。現在，讓我們看一下時間表。

19

時間表上每個長條的位置都對應於發生符合搜尋事件時的執行個體。如果某期間沒有長條，則表示找不到任何事件。

2. 將滑鼠移至其中一個長條上。

系統會彈出工具提示，顯示 Splunk 在該長條的時間跨距期間找到的事件數 (1 個長條 = 1 小時)。

長條越高表示在該時間內發生的事件越多。看到事件數中的尖峰或沒有事件通常是好跡象，表示已發生某些事件。

3. 按一下其中一個長條，例如最高的長條。

這會更新搜尋結果，以只為您顯示該時間跨距的事件。當您按一下長條時，Splunk 不會執行搜尋。而是為您提供該時間範圍內結果的放大預覽。此時，您仍可以選擇其他長條。

一小時仍是較寬的搜尋期間，因此讓我們進一步縮小搜尋。

4. 按兩下相同的長條。

Splunk 會再次執行搜尋，並只抓取您所選擇該小時跨距期間的事件。

您應該會在事件檢視器中看到相同的搜尋結果，但請注意，搜尋會覆寫時間範圍挑選器，且其現在會顯示 [自訂時間]。(您稍後會看到時間範圍挑選器的更多內容。)另外，每個長條現在都代表一分鐘的時間 (1 個長條 = 1 分鐘)。

5. 按兩下其他長條。

這會再次將搜尋更新為抓取該分鐘時間跨距期間的事件。每個長條代表一秒鐘時間內的事件數。

20

現在，您想要展開搜尋以檢視這一秒發生的其他所有事情 (若有的話)。

6. 在不變更時間範圍的情況下，以下列符號取代搜尋列中的上一個搜尋：

*

Splunk 支援使用星號 (*) 萬用字元，根據部分關鍵字搜尋「全部」或抓取事件。目前為止，您已搜尋網路存取記錄。此搜尋告訴 Splunk，您想要檢視此時間範圍內發生的所有事情：

此搜尋會從伺服器上的所有記錄傳回事件。您想要檢視其他使用者的網路活動 -- 可能來自其他主機。但您看到mySQL 資料庫錯誤的叢集。這些錯誤導致您的客戶購買失敗。現在，您可以將此問題報告給 IT 作業小組中的某位成員。


準備就緒後，請繼續下一個主題，瞭解在不同的時間範圍搜尋。

變更時間範圍變更時間範圍

本主題假定您熟悉執行臨機操作搜尋以及使用時間表。如果您不確定是否熟悉，請檢閱之前有關搜尋與使用時間表的主題。

本主題會說明如何縮小任何過去時間範圍內的調查搜尋範圍。 Splunk 預設會搜尋您的所有資料；即搜尋的預設時間範圍是「所有時間」。如果您有大量資料，當您調查 15 分鐘之前、昨晚或上週發生的事件時搜尋此時間範圍即表示，Splunk 將會花費比較長的時間來抓取您要查看的結果。如果您大概知道事件的發生時間，可利用該時間來將您的搜尋目標鎖定在該時間範圍內，以更快速地取得結果。

選擇時間範圍選擇時間範圍

讓我們回到線上鮮花禮品店的客戶支援，這是新一天的開始。在給自己泡一杯卡布奇諾之前，請先執行快速搜尋來看一下近期是否存在任何您應該注意的問題。

1. 返回 [搜尋] 儀表板，並輸入下列對所有時間的搜尋：

21

error OR failed OR severe OR (sourcetype=access_* (404 OR 500 OR 503))

請注意此搜尋在寫法上的一些改變：

它使用括弧將運算式分組在一起，以進行更為複雜的搜尋。在評估布林運算式時，Splunk 會先執行最內部括弧內的運算，然後再對往外一層的配對進行運算。當括弧內的所有運算都完成之後，Splunk 會評估 OR 子句，然後再評估 AND 或 NOT 子句。此外，它也使用了加上萬用字元的捷徑「access_*」，以比對網路存取記錄。如果您有 Apache 伺服器記錄的不同來源類型，例如 access_common 與 access_combined，這會將它們全部比對。

這會搜尋您事件資料中「所有時間」(在此樣本資料中為在上週內) 內事件資料中的一般錯誤。此方式會搜尋您索引中的所有記錄，而不只是比對一種記錄類型。它會比對您事件資料中任何出現的「error」、「failed」或「severe」字詞。此外，如果記錄是網頁存取記錄，它也會尋找 HTTP 錯誤代碼「404」、「500」或「503」。

此搜尋會傳回大量錯誤。您對於所有時間內發生的事件並不感興趣，即使只是為期一週的事件。您才剛剛開始上班，因此您想要瞭解更多近期活動的資訊，例如前一天晚上或上個小時。但是，由於此資料集的限制，讓我們看一下昨天的錯誤。

2. 按一下 [時間範圍] 功能表，然後選擇 [其他] > [昨天]。

3. 從此清單中選擇時間範圍會自動為您執行搜尋。如果搜尋未自動執行，只需按下 Enter 即可。

此搜尋會傳回您所有記錄中的一般錯誤的事件，而不僅僅是網路存取記錄中的事件。 (如果您的樣本資料檔案是一天以前的，您仍可以選擇 [自訂時間] 並輸入您擁有資料的最近日期，來取得這些結果。)

捲動搜尋結果。存在比較多的 mySQL 資料庫錯誤以及一些 404 錯誤。現在... 可以讓實習生給您端杯咖啡來了，您

22

可以邊喝咖啡邊與網路小組聯絡來解決 404 錯誤，並與 IT 作業小組聯絡，以解決週期性伺服器錯誤。

更多時間範圍選項更多時間範圍選項

Splunk 為使用者提供定義自訂時間範圍的選項，可搜尋或選擇搜尋連續的傳入事件串流。

[即時] 可讓您相對於連續的即時傳入事件資料串流，在時間範圍內往前搜尋。由於樣本資料是一次上傳的，因此執行即時搜尋並不會立刻顯示結果。我們將在稍後探索此選項。如需有關即時搜尋以及如何執行即時搜尋的更多資訊，請參閱《搜尋手冊》中的＜關於即時搜尋與報告＞。[自訂時間...] 會彈出一個新視窗，可讓您根據特定日期、相對日期、即時範圍或使用搜尋語言定義您自己的時間範圍。如需有關如何定義自訂時間範圍的更多資訊，請參閱《搜尋手冊》中的＜在搜尋中指定時間修飾詞＞。


到目前為止，您已執行了比對事件中原始文字的簡單搜尋。您只是大概瞭解了可以使用 Splunk 執行的操作。準備就緒後，請繼續下一個主題，瞭解關於欄位以及如何使用欄位搜尋的資訊。

使用欄位進行搜尋使用欄位進行搜尋

本主題假設您瞭解如何執行簡單搜尋，以及如何使用時間範圍挑選器與時間表。如果您不確定是否熟悉使用方法，請從＜開始搜尋＞開始，參閱之前的主題。

只要使用關鍵字與時間範圍執行臨機操作搜尋，您便可深入瞭解資料。但如果不瞭解欄位及其使用方式，便無法充分利用 Splunk 的進階搜尋與報告功能。本教學的此部分會讓您熟悉：

Splunk 會自動擷取的預設欄位與其他欄位使用欄位側欄與 [欄位] 對話方塊可找到有幫助的欄位使用欄位搜尋

讓我們回到線上鮮花禮品店發生的事情。您在早上調查某些一般性問題，並將發現的問題報告給其他小組。您對瞭解的線上商店及其客戶相關資訊感到滿意，但想要擷取此資訊並與您的小組共用該資訊。

執行此操作的最佳方法便是使用欄位。

關於欄位的簡要說明關於欄位的簡要說明

何謂欄位何謂欄位

欄位以許多形式存在於電腦資料中。欄位通常是值 (在線段上有固定、分隔的位置) 或名稱與值配對 (其中每個欄位名稱都有單一值)。欄位也可以是複值；即其會在事件中出現多次，且每次出現都有不同的值。

在 Splunk 中，欄位是可搜尋的名稱/值配對，其可區分一個事件與其他事件，因為並非所有事件都有相同的欄位與欄位值。欄位可讓您撰寫更適合的搜尋，以抓取您想要的特定事件。欄位也可讓您利用搜尋語言、建立圖表及建立報告。

某些欄位範例為適用於存取網站伺服器 IP 位址的 clientip、適用於事件時間戳記的 _time，以及適用於伺服器網域名稱的 host。其中一個常見的複值欄位範例就是電子郵件位址欄位。雖然 [From] 欄位僅包含單一電子郵件位址，但[To] 與 [Cc] 欄位可以與一或多個電子郵件位址相關聯。

如需更多資訊 (當然有更多資訊)，請參閱《知識管理員手冊》中的＜關於欄位＞。

擷擷取的欄位取的欄位

Splunk 會從事件資料擷取欄位兩次。其會在索引該資料時，於事件處理期間擷取預設及其他索引欄位。並在您執行搜尋時，於搜尋時間擷取一組不同的欄位。請進一步閱讀《管理索引器與叢集手冊》中的＜索引時間與搜尋時間＞。

在索引時間中，Splunk 會自動為其處理的每個事件尋找及擷取預設欄位。這些欄位包括 host、source 與sourcetype (您應已熟悉這些欄位)。如需預設欄位的完整清單，請參閱《知識管理員手冊》中的＜使用預設欄位＞。

Splunk 也會在搜尋時間 -- 當您執行搜尋時擷取某些欄位。您稍後會看到這些搜尋的某些範例。如需更多資訊，請參閱《知識管理員手冊》中的＜search-time 欄位擷取概觀＞。

欄位側欄與對話方塊欄位側欄與對話方塊

1. 返回 [搜尋] 儀表板並搜尋網路存取活動。從時間範圍挑選器選擇 [其他] > [昨天]：

23

sourcetype="access_*"

其實，您一直在使用欄位！您每次搜尋 sourcetype=access_* 時，都會要求 Splunk 僅從您的網路存取記錄抓取事件。

若要搜尋特定欄位，請指定欄位名稱與值： fieldname="fieldvalue"

sourcetype 為欄位名稱，而 access_combined_wcookie 為欄位值。在此，您可以使用萬用字元值比對以 access_ 開頭的所有欄位值 (包括 access_common、access_combined 與 access_combined_wcookie)。

註：欄位名稱區分大小寫，欄位值則否！

2. 捲動搜尋結果。

如果您熟悉 access_combined 格式的 Apache 記錄，則會識別出每個事件中的某些資訊，例如：

存取網站的使用者 IP 位址。頁面要求與參考頁面的 URI 與 URL。每個頁面要求的 HTTP 狀態碼。頁面要求方法。

當 Splunk 抓取這些事件時，欄位側欄會以 [所選欄位] 與 [關注欄位] 更新。這些是 Splunk 從您的資料擷取的欄位。

請注意，預設欄位 host、source 與 sourcetype 是 [所選欄位]，且會顯示在搜尋結果中：

3. 捲動 [關注欄位] 以檢視 Splunk 擷取的其他內容。

您會識別出套用至網路存取記錄的欄位名稱。例如，clientip, method, and status。這些並非預設欄位；(非常可能) 已在搜尋時間擷取這些欄位名稱。

4. 在欄位側欄按一下 [編輯] 連結。

系統便會開啟 [欄位] 對話方塊，並顯示 Splunk 擷取的所有欄位。

[可用欄位] 是 Splunk 從您目前搜尋的事件中識別的欄位 (其中某些欄位已列在 [關注欄位] 下方)。[所選欄位] 是您 (從可用欄位) 挑選以在搜尋結果中顯示的欄位 (依照預設，會選擇 host, source, andsourcetype)。

24

5. 捲動 [可用欄位] 清單。

您已熟悉 Splunk 以您的搜尋為基礎，從網路存取記錄擷取的欄位。您應該也會看到 Splunk 定義的其他預設欄位 --其中某些欄位以每個事件的 timestamp (每個都以 date_* 開頭)、標點欄位 (punct) 與位置 (index) 為基礎。

但您應該也會發現與線上商店相關的其他擷取欄位。例如，action、category_id 與 product_id。在與同事溝通後，您可能會知道這些欄位是：

欄位名稱說明

action 使用者在線上商店執行的操作。

category_id 使用者檢視或購買的產品類型。

product_id 使用者檢視或購買的產品目錄編號。

6. 從 [可用欄位] 清單選擇 action、category_id 與 product_id。


當您返回 [搜尋] 檢視時，如果您選擇的欄位存在於該特定事件中，這些欄位便會包含於搜尋結果。不同事件會擁有不同的欄位。

25

欄位側欄不會只為您顯示 Splunk 已從您的資料擷取的欄位。其也會顯示每個欄位存在多少個值。針對您剛才選擇的欄位，action 有 2 個值、category_id 有 5 個值，而 product_id 有 9 個值。這不表示這些便是每個欄位存在的所有值-- 這些僅是 Splunk 從您的搜尋結果瞭解的值。

其中一些值為何？

8. 在 [所選欄位] 下方，針對 action 欄位按一下 [action]。

這會開啟 action 欄位的欄位摘要。

此視窗會告訴您，在這組搜尋結果中，Splunk 找到 action 的兩個值，其為 purchase 與 update。另外，它也會告訴您 action 欄位佔搜尋結果的 71%。這表示四分之三的網路存取事件與購買商品或更新 (可能是購物車中的商品數量)有關。

9. 關閉此視窗並查看您選擇的其他兩個欄位，即 category_id (商店銷售的產品類型) 與 product_id (產品的特定目錄名稱)。

現在，您已對資料中與線上鮮花禮品店相關的資訊有進一步的瞭解。線上商店銷售鮮花、禮品、植物、糖果與氣球等精品。讓我們使用 category_id 與 product_id 這兩個欄位，看一下客戶購買哪些商品。

使用欄位執行更具目標性的搜尋使用欄位執行更具目標性的搜尋

下面兩個範例比較使用及不使用欄位進行搜尋的結果。

範例範例 1

返回您執行的搜尋，檢查資料中是否有錯誤。從時間範圍挑選器選擇 [其他] > [昨天]：

error OR failed OR severe OR (sourcetype=access_* (404 OR 500 OR 503))

26

再次執行此搜尋，但這次在搜尋中使用欄位。

HTTP 錯誤代碼是 status 欄位的值。現在，您的搜尋如下所示：

error OR failed OR severe OR (sourcetype=access_* (status=404 OR status=500 OR status=503))

請注意這兩次搜尋之間事件數的差異 -- 由於第二次搜尋更具目標性，因此傳回更少事件。

當您根據任意關鍵字執行簡單搜尋時，Splunk 會比對資料的原始文字。當您將欄位新增至搜尋時，Splunk 會尋找擁有這些特定欄位/值配對的事件。

範例範例 2

在您瞭解資料中的欄位前，可能已執行此搜尋以查看線上商店的鮮花購買次數：

sourcetype=access_* purchase flower*

在您輸入「flower」時，搜尋助理會在預輸入提示中為您顯示「flower」與「flowers」。由於您不知道哪一個是您想要的內容，因此可以使用萬用字元比對兩者。

如果您捲動 (許多) 搜尋結果，您會看到某些事件擁有 action=update，且 category_id 擁有除了 flowers 以外的值。這些並不是您想要的事件！

請改為執行此搜尋。從時間範圍挑選器選擇 [其他] > [昨天]：

sourcetype=access_* action=purchase category_id=flower*

27

對於第二次搜尋，即使您仍使用萬用字元「flower*」，仍只有一個符合的 category_id 值 (FLOWERS)。

請注意 Splunk 針對每次搜尋抓取的事件數差異；第二次搜尋傳回的事件明顯較少。使用欄位進行搜尋會更具目標性，而且會抓取與您資料更加精確相符的內容。


現在您已瞭解如何使用欄位，可開始使用搜尋語言篩選、修改、重新排序及分組搜尋結果。準備就緒後，請繼續下一個主題，瞭解如何使用搜尋語言。

使用搜尋語言使用搜尋語言

本主題假定您熟悉如何使用關鍵字與欄位/值配對執行簡單搜尋。如果您不確定是否熟悉使用方法，請返回並閱讀＜使用欄位進行搜尋＞。

讓我們回到線上鮮花禮品店客戶支援辦公室，您到目前為止執行的搜尋只是從 Splunk 索引抓取符合事件。例如，在上一個主題中，您執行此搜尋，以檢視鮮花的購買情況：

sourcetype=access_* action=purchase category_id=flowers

搜尋結果已顯示客戶約已購買多少鮮花。不過，這對您回答諸如以下問題並沒有幫助：

客戶在線上商店最常購買的商品是什麼？有多少客戶已購買鮮花？每一位客戶已購買多少鮮花？

若要回答這些問題，您必須使用 Splunk 的搜尋語言，其中包含命令、引數及函數的大型程式庫，可讓您篩選、修改、重新排序及分組搜尋結果。在本教學中，您僅會使用其中的一部份。

使用搜尋助理建構搜尋使用搜尋助理建構搜尋

範例範例 1. 客戶在線上商店最常購買的商品是什客戶在線上商店最常購買的商品是什麼麼？？

1. 返回搜尋儀表板，並將搜尋限制為昨天進行的購買：

sourcetype=access_* action=purchase

當您在搜尋列中輸入時，便會開啟包含 search 命令語法與使用資訊的搜尋助理 (右側)。如果搜尋助理未開啟，請按一下搜尋列左側下方的綠色箭頭。

您之前已經看到搜尋助理針對您在搜尋列中輸入的關鍵字顯示預輸入提示。它也會簡要說明搜尋方法。我們已經討論抓取事件。現在，讓我們開始使用搜尋命令吧。

2. 在搜尋列中輸入直立線字元「|」。

直立線會對 Splunk 表示您將要使用命令，且您想要使用直立線左側的搜尋結果作為此命令的輸入。您可以將命令的結果傳遞至搜尋命令的系列或管線中的另一個命令。

28

您想要 Splunk 為您提供線上商店最熱門的商品 -- 從此清單來看，top 命令就非常適合。

3. 在 [通用的下一個命令] 下方，按一下 [top]。

Splunk 會將 top 命令附加至您的搜尋字串之後。

根據搜尋助理的說明與使用範例，top 命令會「顯示欄位最常見的值」-- 與您想要的完全相符。

您想瞭解客戶在線上商店購買的商品類型，而不只是鮮花。它也會為您顯示關注欄位，您可以按一下將其新增至搜尋。

4. 按一下清單中的 category_id 欄位，或在搜尋列中輸入該命令以完成搜尋：

sourcetype=access_* action=purchase | top category_id

這會為您提供 category_id 前幾個或最常見值的表格。依照預設，top 命令會傳回十個值，但您僅擁有五種不同類型的商品。因此，您應該會看到全部五個商品，依每種類型的數量以遞減順序排序：

top 命令也會傳回兩個新欄位： count 是每個欄位值的出現次數，而 percent 是該數量相較於總數的大小。進一步閱讀《搜尋參考手冊》，瞭解 top 命令。

深入檢視搜尋結果深入檢視搜尋結果

最後一次搜尋傳回的表格，為您顯示線上商店銷售哪些商品，且其中客戶已購買多少商品。不過，您想要知道有關個別商品 (例如鮮花) 的更多資訊。

範例範例 2：：客戶已購買多少鮮花？客戶已購買多少鮮花？

1. 按一下鮮花結果表格中的列。

此操作會開始新搜尋。 Splunk 會更新您的搜尋，以包含欄位/值配對 category=flowers 的篩選，這是您從範例 2 搜尋的結果表格點選的列項目。

29

Splunk 的深入檢視動作可讓您更深入探索搜尋所產生表格與圖表中為您呈現的詳細資訊。進一步閱讀《Splunk 資料視覺化手冊》，瞭解深入檢視動作。

傳回的事件數顯示鮮花的購買數量。

範例範例 3：：有多少不同的客戶購買鮮花？有多少不同的客戶購買鮮花？

1. 您想要特別尋找鮮花的購買情況，因此請從之前的範例繼續搜尋：

sourcetype=access_* action=purchase category_id=flowers

透過客戶的 IP 位址可區分存取鮮花禮品店的客戶，這些位址就是 clientip 欄位的值。

2. 使用 stats 命令與 distinct_count() 或 dc() 函數：

sourcetype=access_* action=purchase category_id=flowers | stats dc(clientip)

您已將搜尋結果輸入至 stats 命令，並使用 distinct_count() 函數計算在這些事件中找到的唯一 clientip 值數。這會傳回單一值：

此結果顯示，約有 300 位不同的使用者從線上商店購買鮮花。

範例範例 4a：：每一位客戶已購買多少鮮花？每一位客戶已購買多少鮮花？

在最後一個範例中，您已計算有多少不同的客戶購買鮮花。讓我們以該搜尋為基礎。

1. 使用 stats 命令：

sourcetype=access_* action=purchase category_id=flowers | stats count

count() 函數會傳回單一值，即事件數。(這應該與您在範例 2 中得到的結果相同。)

現在，請細分此數量，以瞭解每位客戶購買多少鮮花。

2. 將 by 子句新增至 stats 命令：

sourcetype=access_* action=purchase category_id=flowers | stats count BY clientip

此搜尋會為您提供不同客戶 (clientip) 的表格以及購買的鮮花數量 (count)。

30

重新設定搜尋結果格式重新設定搜尋結果格式

您可能知道此表格標頭代表的意思，但其他人乍看之下不會瞭解。您想要對您的主管和其他小組成員展示您的結果。

範例範例 4b：：您您可以如何改善可以如何改善 4a 結果的顯示方式？結果的顯示方式？

讓我們繼續範例 4a，稍微重新設定結果的格式。

1. 首先，讓我們重新命名 count 欄位：

sourcetype=access_* action=purchase category_id=flowers | stats count AS "# Flowers Purchased" by

clientip

stats 命令的語法可讓您使用 [AS] 子句重新命名內置欄位。如果您的新欄位名稱是字詞，請使用雙引號。 stats 命令的語法不允許在 [by] 子句中重新命名欄位。因此，您必須使用其他命令。

如需有關 stats 命令及其使用、引數與函數的更多資訊，請參閱《搜尋參考手冊》與 stats 函數清單中的 stats 命令。

2. 使用 rename 命令變更 clientip 名稱：

sourcetype=access_* action=purchase category_id=flowers | stats count AS "# Flowers Purchased" by

clientip | rename clientip AS Customer

此操作會設定表格格式，將標頭 (clientip 與 count) 重新命名為 Customer 與 # Flowers purchased：

如需有關 rename 命令的更多資訊，請參閱《搜尋參考手冊》中的 rename 命令。


在執行多次搜尋時，您會想要可儲存並重複使用這些搜尋，或與您的小組成員共用。準備就緒後，請繼續下一個主題，瞭解如何儲存並與其他人共用搜尋。

儲存搜尋儲存搜尋

本主題假設您習慣使用欄位進行搜尋。如果您不習慣使用欄位進行搜尋，請返回上一個主題並檢閱如何＜使用欄位進行搜尋＞。

關於儲存搜尋關於儲存搜尋

31

Splunk 提供使用 [儲存] 功能表儲存搜尋或搜尋結果的各種選項。您可以在搜尋執行中或已完成或結束後予以儲存。本主題將簡要討論 [儲存] 選項，然後介紹使用 Splunk Web 手動儲存搜尋，以及稍後再次存取該搜尋的基本資訊。

[儲存] 選項包括：

儲存搜尋...：儲存搜尋，以便您再次輕鬆執行搜尋，而不必重新輸入搜尋字串。如需更多資訊，請參閱《知識管理員手冊》中的＜儲存搜尋與共用搜尋結果＞。儲存結果：儲存搜尋結果，並可讓您從 [工作管理員] 抓取這些結果。儲存並共用結果：儲存搜尋結果並提供可讓您共用結果的 URL。如需更多資訊，請參閱＜儲存搜尋與共用搜尋結果＞。

儲存搜尋儲存搜尋教教學學

讓我們回到鮮花禮品店，您只需要執行搜尋，即可看到昨天是否發生任何錯誤。這是您會在每天早上執行的搜尋。您決定儲存此搜尋，而非每天手動輸入。

範例 1. 搜尋昨天看到的所有錯誤：

error OR failed OR severe OR (sourcetype=access_* (status=404 OR status=500 OR status=503))

1. 按一下搜尋列下方的 [儲存]。

2. 從清單選擇 [儲存搜尋...]。

系統便會開啟 [儲存搜尋] 對話方塊。

3. 將搜尋命名為錯誤 (昨天)

4. 按一下 [完成]。Splunk 會確認已儲存您的搜尋：

5. 在 [搜尋與報告] 清單中找出儲存的搜尋：

32

由於儲存的搜尋名稱包含字詞「錯誤」，因此 Splunk 會將其列於有關錯誤的儲存搜尋子功能表。

儲存的搜尋旁邊的綠點表示其對您的 Splunk 帳戶而言為本機；現在您是授權存取此儲存搜尋的唯一使用者。由於您小組中其他人可能想要執行此搜尋，因此您可以將其設為全域儲存搜尋，以便其他人存取。若要執行此操作，請進一步閱讀《知識管理員手冊》中的＜儲存搜尋與共用搜尋結果＞。

關於管理及排程搜尋關於管理及排程搜尋

管理搜尋與報告管理搜尋與報告

如果您要修改儲存的搜尋，請使用 [搜尋與報告] 功能表選擇 [管理搜尋與報告]。這會顯示 [Splunk 管理員] 頁面，包含您可以存取的所有搜尋與報告 (如果已允許您存取搜尋與報告)。您可以從此處在清單中選擇您的搜尋。這會顯示搜尋編輯視窗，然後您可以從此視窗變更或更新搜尋字串、說明、時間範圍與排程選項。進一步閱讀《知識管理員手冊》的本主題中有關管理儲存搜尋的更多資訊。

排程儲存的搜尋與警示排程儲存的搜尋與警示

如果您擁有 Enterprise 授權，Splunk 也可讓您設定儲存以排程執行的搜尋，並根據排程的搜尋設定警示。在第一次下載 Splunk 時，您會取得將在 60 天後過期的 Enterprise 試用版授權。如果您正在使用 Free 授權，則無法排程儲存的搜尋。進一步閱讀《警示手冊》，瞭解有關排程儲存搜尋與設定警示的更多資訊。


從此以後，您會在執行搜尋後儲存搜尋。您之前已經找到每位客戶在線上商店購買的鮮花數量。但是如果您要找出在任何指定的一天購買最多商品的客戶時，應該執行哪些操作？準備就緒後，請繼續下一個主題瞭解另一種搜尋方法，這次是＜使用子搜尋＞。

使用子搜尋使用子搜尋

上一個主題＜使用搜尋語言＞介紹搜尋命令、搜尋管線與深入檢視動作。

本主題會引導您進行搜尋以尋找最常見的客戶及其購買情況。我們會為您展示取得所需結果的兩個方法：不使用子搜尋與使用子搜尋。

子搜尋是擁有搜尋管線作為引數的搜尋。子搜尋會以方括號框住，並先進行評估。然後將子搜尋的結果作為主要或外部搜尋的引數。進一步閱讀《搜尋手冊》，瞭解有關子搜尋運作方式的更多資訊。

範例範例 1：不使用子搜尋：不使用子搜尋

讓我們回到鮮花禮品店，您的主管要求您彙總報告，以顯示昨天購買最多商品的客戶及其購買的商品。僅使用簡單的搜尋不容易取得此結果 -- 讓我們將其細分。

首先，搜尋昨天存取線上商店次數最多的客戶。

1. 使用 top 命令，並將搜尋限制為昨天：

sourcetype=access_* action=purchase | top limit=1 clientip

將 top 命令限制為僅針對 clientip 傳回一個結果。如果您想要檢視多位「最高購買數客戶」，請變更此限制值。如需有關使用和語法的更多資訊，請參閱《搜尋參考手冊》中「top」命令的頁面。

33

此搜尋會傳回一個 clientip 值，我們將其用於識別我們的 VIP 客戶。

2. 使用 stats 命令計算此 VIP 客戶的購買數：

sourcetype=access_* action=purchase clientip=10.192.1.39 | stats count by clientip

此搜尋使用 count() 函數，此函數僅會傳回 clientip 的購買數。您也想要知道其購買的商目，那麼讓我們使用另一個stats 函數。

3. 執行此操作的其中一個方式是使用 values() 函數：

sourcetype=access_* action=purchase clientip=10.192.1.39 | stats count, values(product_id) by clientip

這會新增欄至表格，其會依產品 ID 列出客戶購買的商品。

此方法的缺點是每次您想要建立此表格時，都必須執行兩次搜尋。在任何指定時間範圍中，最高購買者可能不是相同的人。

如需有關使用和語法的更多資訊，請參閱《搜尋參考手冊》中「stats」命令的頁面。此外，如需其他 stats 函數的清單，請參閱《搜尋參考手冊》中的＜stats 函數清單＞。

範例範例 2：使用子搜尋：使用子搜尋

1. 使用子搜尋從第 1 部份內置執行搜尋。輸入或複製/貼上：

sourcetype=access_* action=purchase [search sourcetype=access_* action=purchase | top limit=1 clientip

| table clientip] | stats count, values(product_id) by clientip

由於 top 命令會傳回 count 與 percent 欄位，因此您可以使用 table 命令僅保留 clientip 值。

如果您在相同的時間範圍中執行，則這些結果應與之前的結果相符。但是，如果您變更時間範圍，您可能會看到不同的結果，因為最高購買數客戶會不同！

2. 重新設定結果格式，使其更容易閱讀：


| table clientip] | stats count, values(product_id) as product_id by clientip | rename count AS "How

much did he buy?", product_id AS "What did he buy?", clientip AS "VIP Customer"

34


當可接受此報告的內容時，您會想要讓它變得更好。例如，您不想讓您的主管依商店商品的產品 ID 號碼瞭解商店商品。您想要依產品名稱，而非難以理解的產品 ID 顯示 VIP 客戶的購買數。準備就緒後，請繼續下一個主題，瞭解使用欄位查閱將更多資訊新增至事件。

使用欄位使用欄位查查閱閱

上一個主題引導您使用子搜尋。如果您還不熟悉此內容，請返回並檢閱如何＜使用子搜尋＞。

本主題會引導您使用欄位查閱將新欄位新增至事件。

何謂欄位查閱？

欄位查閱可讓您參考符合事件資料欄位的外部 CSV 檔案欄位。您可以使用此符合欄位，透過將更有意義的資訊與可搜尋欄位新增至事件資料，豐富事件資料。

如需為您展示如何使用欄位查閱，將 HTTP 狀態代碼說明新增至網路存取事件資料的範例，請參閱此《知識管理員手冊》主題。

在之前的範例中，您已建立列出最高購買數客戶所購買商品數及其所購買商品的報告表格。依產品 ID 號碼列出商品，而其本身沒有任何意義，因為您不知道其代表內容。在對主管與同事展示此報告前，您會想要新增實際產品名稱。此資訊不存在於您的資料中，但您可以使用欄位查閱從外部檔案新增此資訊。

若要繼續，請下載並解壓縮此 CSV 檔案：product_lookup.csv.zip

重要事項：若要完成其餘的教學，您必須遵循本主題中的程序執行。如果您不遵循本主題，則後續主題中的搜尋不會產生正確結果。

尋尋找查找查閱管理員閱管理員

1. 在 Splunk 導覽功能表中，於右上角按一下 [管理員]。

這會帶您前往 Splunk 管理員，其可讓您存取及設定 Splunk 伺服器的應用套件、知識物件及其他設定，例如系統、資料、部署與驗證設定。如果您沒有看到其中某些選項，就表示您沒有檢視或編輯這些項目的權限。

現在，我們只關注 [知識] 設定。

2. 在 [知識] 下方，按一下 [查閱]。

35

這會帶您前往 [管理員] > [查閱] 檢視。

此檢視可讓您按一下 [查閱表格檔案]、[查閱定義] 與 [自動查閱] 表格中的連結，以編輯現有查閱。如果您想要新增查閱，只需按一下該查閱項目動作下方的 [新增]。

上傳上傳查查閱閱檔檔案案

在 [管理員] > [查閱] 檢視中：

1. 在 [查閱表格檔案] 的 [動作] 下方，按一下 [新增]。

這會帶您前往 [管理員] > [查閱] > [查閱表格檔案] 檢視，您可以在此上傳要在定義中用於欄位查閱的 CSV 檔案。

2. 將 [目的地應用套件] 保留為 [搜尋]。

這會要求 Splunk 將您的查閱表格檔案儲存在 [搜尋] 應用套件中。

3. 在 [上傳查閱檔案] 下方，瀏覽要上傳的 CSV 檔案 (product_lookup.csv)。

36

4. 在 [目的地檔案名稱] 下方，將檔案命名為 product_lookup.csv。

這是您在查閱定義中用於參照檔案的名稱。


這會將 Splunk 的查閱檔案上傳至 [搜尋] 應用套件，但現在您必須定義您想要設定的查閱類型。

註：Splunk 無法識別或無法上傳檔案，請檢查其是否已解壓縮，然後嘗試再次上傳。

6. 按一下階層連結，以返回 [管理員] > [查閱]：

定義欄位定義欄位查查閱閱


1. 在 [查閱定義] 的 [動作] 下方，按一下 [新增]。

這會帶您前往 [管理員] > [查閱] > [查閱定義] 檢視，您可以在此定義欄位查閱。


3. 將查閱命名為 product_lookup。

4. 在 [類型] 下方，選擇 [以檔案為基礎的]。

5. 在 [查閱檔案] 下方，選擇 product_lookup (查閱表格的名稱)。

6. 保留未勾選 [設定以時間為基礎的查閱] 與 [進階選項]。


現在，Splunk 知道 product_lookup 是以檔案為基礎的查閱。

37

設定自動設定自動查查閱閱


1. 在 [自動查閱] 的 [動作] 下方，按一下 [新增]。

這會帶您前往 [管理員] > [查閱] > [自動查閱] >> [新增] 檢視，您可以在此設定要自動執行的查閱。


3. 將自動查閱命名為 product_lookup。

4. 在 [查閱表格] 下方，選擇 product_lookup。

5. 在 [套用至] 與 [具名] 下方，選擇 [來源類型]，並輸入 access_combined_wcookie。

6. 在 [查閱輸入欄位] 下方，輸入：

輸入欄位是在事件資料中用於與比對查閱表格中欄位的欄位。

7. 在 [查閱輸出欄位] 下方，輸入下列內容。使用 [新增另一個欄位] 連結，在第一個欄位之後新增更多欄位：

輸出欄位是查閱表格中您要根據輸入欄位符合內容，將其新增至事件資料的欄位。在此，您會新增下列欄位： price(其包含每個 product_id 的價格) 與 product_name (其包含每個 product_id 的描述性名稱)。

38

8. 保留未勾選 [覆寫欄位值]。

如果您勾選此方塊，Splunk 將從查閱表格對映的對應欄位值，覆寫事件資料中存在的任何欄位。由於您新增兩個新欄位，因此您不必擔心此選項。


返回 [搜尋] 儀表板 (按一下 [<< 回到搜尋])，並針對時間範圍為昨天的網路存取活動執行搜尋：

sourcetype=access_*

當您捲動欄位側欄或 [欄位] 對話方塊時，您會看到已新增的新欄位。

使用新使用新查查閱欄位進行搜尋閱欄位進行搜尋

現在，您可以執行上一個子搜尋範例，檢視 VIP 客戶購買的商品。這次將 product_id 欄位取代為更容易閱讀的product_name：


| table clientip] | stats count, values(product_name) AS product_name by clientip | sort - count |

rename count AS "How much did he buy?", product_name AS "What did he buy?", clientip AS "VIP Customer"

結果與上一個子搜尋範例的結果完全相同，但 VIP 客戶的購買數更有意義。

將此搜尋另存為「VIP Customer」。

搜尋加速搜尋加速

在您儲存「VIP Customer」搜尋時，儲存對話方塊會包含新選項：[加速]。

39

如果您的搜尋有大量事件且完成速度較慢，您可以加速該搜尋，使其在您未來再次執行搜尋時可較快完成。僅在您的搜尋具有加速資格時，才可使用此選項。此搜尋可進行加速，因為其為報告搜尋。

本教學中使用的樣本資料量非常有限，且整個搜尋都針對一天 (昨天) 的資料執行。勾選此方塊不會對您將在本教學中儲存的搜尋和所有即將執行的搜尋速度造成顯著影響。

進一步閱讀《知識管理員手冊》中的＜儲存搜尋與共用搜尋結果＞主題，瞭解有關搜尋加速與合格搜尋的更多資訊。


準備就緒後，請繼續下一個主題，在此您將執行更多搜尋。

更多搜尋範例更多搜尋範例

在上一個主題中，您已使用查閱表格將兩個新欄位新增至線上商店事件資料。如果您未新增這些欄位，請返回並檢閱如何＜使用欄位查閱＞，並遵循新增欄位的程序。若沒有這些欄位，以下搜尋不會傳回正確結果。

讓我們回到鮮花禮品店，系統會要求您收集資訊，為您的主管建立有關昨天購買記錄的報告：

有多少要求的頁面檢視？頁面檢視與購買數之間的差異為何？購買商品與購買數為何？有多少失敗的購買嘗試？

本主題會使用您從之前主題瞭解的內容撰寫搜尋，以回答這些問題。

搜尋參考手冊搜尋參考手冊

這些範例僅使用少數可供您使用的搜尋命令與函數。如需所有搜尋命令使用的完整語法與說明，請參閱《搜尋參考手冊》。

搜尋命令的完整清單eval 命令的函數清單stats 命令的函數清單

範例範例 1 - 有多少要求的頁面檢視？有多少要求的頁面檢視？

昨天某人在網站上檢視頁面多少次？

1. 從搜尋所有頁面檢視開始。選擇時間範圍 [其他] > [昨天]：

sourcetype=access_* method=GET

40

然後您想要計算頁面檢視數 (具有 method 欄位的特徵)。


sourcetype=access_* method=GET | stats count AS Views

在此，您可以使用 stats 命令的 count() 函數，計算網路存取記錄中的「GET」事件數。這是由搜尋傳回的事件總數，因此應符合抓取事件數。實際上，此搜尋會擷取該數量，並將其儲存在您可以使用的欄位中。

在此，不必將 count 欄位重新命名為 Views，但您稍後會再次使用此欄位，且這有助於避免混淆。

3. 將此搜尋另存為頁面檢視 (昨天)。

範例範例 2 - 頁面檢視與購買數之間的差異頁面檢視與購買數之間的差異為為何？何？

您從範例 1 取得檢視總數。有多少訪客檢視網站購買商品？檢視與購買之間的百分比差異為何？

1. 從範例 1 的搜尋開始。從時間範圍挑選器選擇 [其他] > [昨天]：

sourcetype=access_* method=GET | stats count AS views

2. 使用 stats 計算購買數 (具有 action 欄位的特徵)。

sourcetype=access_* method=GET | stats count AS Views, count(eval(action="purchase")) AS Purchases

您也可以再次使用 count() 函數，這次與 eval() 函數搭配使用，以計算購買動作數並將欄位重新命名為 Purchases。

在此，必須重新命名 -- 將 eval() 函數與 stats 命令搭配使用的語法需要您重新命名欄位。

現在您只需要使用檢視總數與購買總數計算百分比。

3. 使用 eval 命令，並將結果輸送至 rename：

41

sourcetype=access_* method=GET | stats count AS Views, count(eval(action="purchase")) as Purchases |

eval percentage=round(100-(Purchases/Views*100)) | rename percentage AS "% Difference"

eval 命令可讓您評估運算式並將結果儲存至欄位。在此，您可以使用 round() 函數，將所計算 Purchases 除以Views 的百分比四捨五入到最接近的整數。

5. 將搜尋另存為「% Difference Purchases/Views」。

範例範例 3 - 購買商品與購買數購買商品與購買數為為何？何？

此範例需要兩個欄位，即 product_name 與 price，這兩個欄位已在欄位查閱範例中新增。如果您之前沒有新增這些欄位，請參閱該範例並遵循程序執行。

建立表格以顯示昨天購買的產品、每個商品的購買數，以及每個產品所計算的收益。

1. 從依產品名稱搜尋所有購買開始。將時間範圍變更為 [其他] > [昨天]：

sourcetype=access_* action=purchase | stats count by product_name

2. 使用 stats 函數納入已購買產品數、每個產品的價格與每個產品的總收益。

sourcetype=access_* action=purchase | stats count, values(price), sum(price) by product_name

42

count() 函數可計算事件數。 values() 函數會針對每個 product_name 傳回 price 的值。 sum() 函數會針對每個product_name 將 price 的所有值加在一起。

3. 現在，您只需要重新命名欄位，使表格更容易閱讀：

sourcetype=access_* action=purchase | stats count AS "# Purchased", values(price) AS Price, sum(price)

AS Total by product_name | eval Total="$ ".tostring(Total, "commas")

在此，「AS」用於重新命名表格標頭。此外，您已使用 eval 命令的 tostring() 函數，將計算的總價格值轉換為字串，並重新設定其格式，以包含貨幣符號「$」與逗號。(句點「.」是字串串連的捷徑標記法。)

5. 將搜尋另存為產品與收益 (昨天)。

範例範例 4 - 有多少失敗的購買嘗試？有多少失敗的購買嘗試？

在之前的範例中，您已搜尋成功的購買，但您也想要知道有多少失敗的購買嘗試！

1. 搜尋失敗的購買嘗試，從時間範圍挑選器選擇 [昨天]：

sourcetype=access_* action=purchase status=503

(您應該已從本教學之前的＜開始搜尋＞主題瞭解此搜尋。)

此搜尋會傳回事件清單，讓我們計算結果數。


sourcetype=access_* action=purchase status=503 | stats count

這會傳回單一值：

43

這表示昨天沒有失敗的購買！

3. 將此搜尋另存為失敗的購買數 (昨天)。


現在您應該已習慣使用搜尋語言與搜尋命令。準備就緒後，請繼續下一個主題，瞭解關於報告與儀表板的資訊。

建立報告與儀表板建立報告與儀表板

關於報告與儀表板關於報告與儀表板

本章會引導您使用 Splunk Web，從您在整個教學中儲存的搜尋建立報告與儀表板。

[Splunk 報告建立工具] 可讓您輕鬆使用來自任何已完成或結束搜尋的結果產生精細的報告。它在報告參數與圖表類型方面提供廣泛的報告選項。

Splunk 讓它與使用 Splunk Web 建立及編輯簡單儀表板一樣容易。您可以將您剛才執行的搜尋新增至新的或現有儀表板，或使用 [儀表板編輯器] 建立儀表板，並使用儀表板面板填入儀表板。

準備就緒後，請繼續下一個主題執行報告搜尋。

報告範例報告範例

本主題是以您在上一個搜尋範例中執行及儲存的搜尋為基礎而建立，以引導您如何建立圖表與建立報告。

讓我們回到鮮花禮品店，您仍要建立報告。您之前執行的搜尋已傳回單一值 (例如失敗的錯誤數量) 或結果表格 (已購買產品的表格)。現在，您也想要為昨天的活動報告新增某些視覺化：

每個產品類別的購買數與檢視數期間內的購買產品數期間內的購買產品數趨勢

使用報告建立工具使用報告建立工具

Splunk 可以在收集搜尋結果時，動態更新產生的圖表。開始搜尋時，您可以在搜尋完成前開始建立報告。您可以使用欄位功能表快速建立簡單的預先定義報告，也可以使用 [報告建立工具]，它可讓您定義、產生及微調報告的格式，從您想要建立的圖表類型到您想要在此圖表上顯示的內容。

如果您正在處理的搜尋很長，但不想要等到搜尋完成後才開始根據搜尋定義報告，請按一下 [建立] 並選擇 [報告...] 啟動 [報告建立工具]。搜尋會在啟動 [報告建立工具] 後繼續執行，且完成的報告會涵蓋傳回事件資料的完整範圍。如果搜尋字串包含報告命令，您可以按一下 [顯示報告] 以存取 [報告建立工具]。Splunk 會讓您直接跳到報告建立過程的設定格式階段，因為您的報告命令已定義報告。

您不必深入瞭解報告命令即可使用 [報告建立工具]，但是如果您已擁有些方面的知識，便可增加使用 [報告建立工具]執行的操作範圍。

若要進一步瞭解有關使用報告建立工具定義基本報告參數、設定圖表格式及匯出或列印完成報告的更多資訊，請參閱《Splunk 資料視覺化手冊》中的＜使用報告建立工具定義報告＞。

每個每個產產品的購買數與檢視數圖表品的購買數與檢視數圖表

44

在此範例中，我們會針對每個產品的檢視數與購買數繪製圖表。請回想您已在上一個主題中儲存類似搜尋。

讓我們對其稍作修改。

1. 在時間範圍 [昨天] 中執行此搜尋：

sourcetype=access_* method=GET | chart count AS views, count(eval(action="purchase")) AS purchases by

category_id | rename views AS "Views", purchases AS "Purchases", category_id AS "Category"

在此，請使用 chart 命令，而非 stats 命令。 chart 命令可讓您建立圖表，並使用 by 子句指定 x 軸。

2. 按一下 [建立]，然後從清單選擇 [報告...]。

由於您使用 chart 命令，且已定義報告，這會開啟 [報告建立工具] 的[格式報告] 頁面。

如果您在此視窗中看到不同的內容，例如不同的圖表類型，可能是因為您沒有查看預設設定。但您不必擔心。

3. 在 [格式設定選項] 下方：

將圖表類型保留設為 [直條圖]。將圖表命名為 Purchases and Views by Product Type。

45

由於您正在使用 chart 命令，因此必須定義圖表的座標軸。

4. 在 [一般] 下方，將 [圖例位置] 變更為 [頂部]。

5. 在 [格式] 下方，按一下 [X 軸]：

在 [X 軸標題] 輸入「產品類型」。

6. 在 [格式] 下方，按一下 [Y 軸]：

在 [Y 軸標題] 輸入 [事件數]。

7. 按一下 [套用]。

46

現在您應該會看到格式已設為直條圖的購買數與檢視數圖表，且 X 軸為產品類型。

7. 按一下 [儲存]，然後從清單選擇 [儲存報告...]。

系統便會開啟 [儲存報告] 對話視窗：

將報告命名為購量數與檢視數 (昨天)。按一下 [完成 >>]。

依依產產品名稱顯示最多購買數品名稱顯示最多購買數

此報告需要欄位查閱範例中的 product_name 欄位。如果您之前沒有新增查閱，請參閱該範例並遵循程序執行。

在此報告中，我們會針對昨天已完成的每個商品購買數繪製圖表。

1. 搜尋：

sourcetype=access_* | timechart count(eval(action="purchase")) by product_name usenull="f"

請再次使用 count() 函數。不過，您也可以使用 usenull 引數，確定圖表僅會計算擁有 product_name 值的事件。

47

2. 按一下 [建立]，然後選擇 [報告...]。

由於您在搜尋字串中使用 timechart 命令，這會直接帶您前往 [報告建立工具] 的步驟 2，您會在此設定報告格式。

3. 在 [格式設定選項] 下方：

將圖表類型變更為 [直條圖]。將圖表命名為 Top purchases by Product。將 [堆疊模式] 變更為 [堆疊]。

由於您已使用 timechart 命令，因此已命名座標軸：X 軸是 [時間]，而 Y 軸是 [事件數]。將軸重新命名為「時間」與「購買數」。

4. 按一下 [套用]。

每欄都代表在該欄對應的半小時期間內購買的不同產品。

5. 按一下 [儲存]，然後選擇 [儲存報告...]

將報告命名為購買的產品 (昨天)。按一下 [完成 >>]。

最多購買數趨勢最多購買數趨勢

48

對於 stats 與 chart 搜尋，您可以將走勢圖新增至其結果表格。走勢圖一種內置圖表，顯示於搜尋結果表格中，其專為可顯示以時間為基礎且與每一列主索引鍵關聯的趨勢而設計。如需更多資訊，請參閱《搜尋手冊》中的＜新增走勢圖至搜尋結果＞。

此範例使用走勢圖彙總昨天購買數的趨勢。

此範例需要欄位查閱範例中的 product_name 欄位。如果您之前沒有新增查閱，請參閱該範例並遵循程序執行。

在時間範圍 [昨天] 中執行此搜尋：

sourcetype=access_* | chart sparkline(count(eval(action="purchase"))) AS "Purchases Trend (Yesterday)"

by product_name

此搜尋與您剛才執行以建立報告的最後兩次搜尋類似。它使用 chart 命令計算針對每個產品 product_name 的購買數count(eval(action="purchase"))。此處的差別在於現在購買數是 sparkline() 函數的引數。(此外，結果也會重新命名為「購買數趨勢 (昨天)」，表示您想要瞭解昨天的購買數趨勢。)

讓我們將它新增至要顯示的報告中，不只是昨天的購買總數，也是當天的購買數趨勢：

sourcetype=access_* | chart sparkline(count(eval(action="purchase"))) AS "Purchases Trend (Yesterday)"

count(eval(action="purchase")) AS Total by product_name | rename product_name AS "Product Name"

將此搜尋另存為最多購買趨勢 (昨天)。

存取儲存的報告存取儲存的報告

儲存報告後，請前往 [<< 回到搜尋]。 Splunk 會在搜尋儀表板的 [搜尋與報告] 功能表中列出所有儲存的報告：

49

快速快速產產生報告生報告

本教學使用相對較小的樣本資料集，因此這些報告搜尋相對較快。Splunk 可以產生大量資料的報告，但報告大型資料集需要花費很長的時間。如果您要依定期排程執行這些報告，在每次執行搜尋時摘要資料並針對這些摘要建立報告會更有效。

使用報告命令的搜尋 (即產生表格與圖表形式報告的搜尋) 具有報告加速資格。與僅需按一下核取方塊並設定時間範圍，即可為大型資料集搜尋進行此設定。只要搜尋 (至少部分) 在此時間範圍內執行，未來執行搜尋的速度就會較快。

報告加速幾乎適用於所有完成速度較慢的搜尋，這些搜尋擁有 100k 或更多的使用中索引分集事件，且符合《知識管理員手冊》的＜關於報告加速與摘要索引＞中略述的合格條件。

如需有關合格與不合格搜尋的更多資訊與範例，請參閱《知識管理員手冊》中的＜管理報告加速＞。


若您對建立的報告感到滿意，有一些選項可供您儲存並與其他人共用報告。若要檢閱這些選項，請參閱＜儲存搜尋與共用搜尋結果＞

您也可以從搜尋與報告建立儀表板。儀表板可以由多個面板組成，各面板分別顯示由隱藏、預先定義的搜尋所產生的圖表、清單與其他資料。

準備就緒後，請繼續下一個主題，引導您建立儀表板面板。

儀表板範例儀表板範例

在繼續本主題前，您應該檢閱有關欄位值的報告，您已在此建立與儲存某些報告。本主題會引導您建立簡單的儀表板，這些儀表板使用您在之前的主題中儲存相同的搜尋與報告。

讓我們回到鮮花禮品店，您的主管要求您彙總儀表板，以顯示在線上商店銷售產品的衡量標準。您也決定自己建立儀表板，以協助您或 IT 小組的其他成員尋找及疑難排解線上商店的問題。

建立儀表板面板建立儀表板面板

所有儀表板面板都以搜尋為基礎。若要產生以您的搜尋為基礎的儀表板面板，並將其新增至新的或現有儀表板，請按一下 [建立] 並從功能表選擇 [儀表板面板...]。然後，使用 [建立儀表板面板] 對話方塊建立新的或預先存在儀表板的新面板，Splunk 會自動儲存增強面板能力的搜尋。

在《Splunk 資料視覺化手冊》中的＜透過使用者介面建立與編輯儀表板＞進一步瞭解有關儀表板的資訊。

儀表板儀表板 1：：鮮花禮品店鮮花禮品店產產品品

第一個儀表板會顯示與鮮花禮品店中不同產品的每日購買數相關的衡量標準。針對此儀表板，您將使用儲存的搜尋：

購買的產品 (昨天)產品與收益 (昨天)購量數與檢視數 (昨天)

50

最多購買趨勢 (昨天)

若要開始，請確定您位於 [搜尋] 應用套件。

1. 按一下 [儀表板和檢視]，然後從清單選擇 [建立儀表板...]。

這會開啟 [建立新儀表板] 對話方塊，其可讓您定義新儀表板。

2. 若要建立新儀表板：

2a. 將此儀表板的唯一 ID 指定為「產品」。此 ID 是您用於從 Splunk 中的其他物件參考儀表板的名稱。

2b. 將儀表板命名為鮮花與禮品店 - 產品。此名稱是列於導覽功能表和儀表板上方的標籤。

2c. 按一下 [建立]。

這會帶您前往目前為空白的新儀表板。讓我們開始以面板將其填滿吧。

3. 儀表板選項位於儀表板上方的名稱旁邊。關閉 [編輯] 時，您會看到列印儀表板與 PDF 遞送的選項。

我們現在不必擔心這些選項。稍後您將進一步閱讀與其相關的資訊

3a. 若要開始編輯儀表板，請將 [編輯] 開關切換為 [開]。

開啟 [編輯] 時，您會看到三個選項：

[新面板] 可讓您將面板新增至儀表板。[編輯 XML] 可讓您編輯儀表板的 XML 程式碼。[編輯權限] 可讓您控制誰可以存取儀表板。

3b. 若要將面板新增至儀表板，請按一下 [新面板]。

這會開啟 [新面板] 對話方塊，其可讓您定義面板的屬性。

4. 若要將面板新增至儀表板，請為面板命名並指定與其關聯的搜尋：

51

4a. 在 [標題] 下方，將面板命名為「購買的產品 (昨天)」。這是面板的標籤。

4b. 在 [搜尋命令] 下方，選擇 [儲存的搜尋]。

所有儀表板面板都與搜尋關聯。您可以指定面板是執行預先定義的儲存搜尋，或使用專為面板設計且以「內置」方式與面板關聯的搜尋。在這些儀表板中，您只會使用儲存的搜尋與報告。

4c. 從清單選擇名為「購買的產品 (昨天)」的儲存搜尋。

4d. 按一下 [儲存]。

現在您已將新面板新增至「鮮花禮品店 - 產品」儀表板。依照預設，搜尋結果會顯示為表格。但這不是您想要的面板視覺化，所以讓我們對其進行變更。

5. 針對面板，按一下 [編輯]，然後從清單選擇 [編輯視覺化...]。

這會開啟 [編輯視覺化] 對話方塊，其可讓您修改搜尋結果在面板中的表示方式：資料表格、事件清單、圖表、單一值面板與量測計。如需有關 Splunk 視覺化選項的更多資訊，請參閱＜視覺化參考＞。

52

6. 從 [視覺化] 清單選擇 [直條圖]，以在堆疊直條圖中顯示您的結果。


現在，面板的外觀應該如下所示：

8. 再將兩個新面板新增至儀表板：

8a. 針對昨天的購買數與檢視數 (# Purchases & Views) 新增名為購買數與檢視數 (昨天) 的面板。編輯視覺化類型以顯示直條圖。

8b. 將名為產品與收益 (昨天) 的面板新增至昨天銷售的產品與銷售收益 (購買與收益 (昨天)) 清單。編輯視覺化類型以顯示資料表格。

8c. 新增名為最多購買趨勢 (昨天) 的面板，以走勢圖列出昨天銷售的產品，顯示當天的購買趨勢。編輯視覺化類型以顯示資料表格。

8d. 新增面板後，請拖曳面板以將其重新排列，使其如下所示：

53

這是您的產品儀表板。現在讓我們遵循相同的步驟建立作業儀表板。

儀表板儀表板 2：：鮮花禮品店作業鮮花禮品店作業

第二個儀表板包括簡單的報告，您可以在一天的開始檢視這些報告，以取得有關最近網路存取活動的資訊。針對此儀表板，您將使用儲存的搜尋：

總檢視 (昨天)失敗的購買數 (昨天)錯誤 (昨天)

若要開始，請返回 [搜尋] 應用套件。

1. 按一下 [儀表板和檢視]，然後從清單選擇 [建立儀表板...]，並將新儀表板定義為鮮花禮品店 - 作業。

2. 針對此儀表板，您會新增三個面板：兩個單一值面板和一個事件清單面板。其外觀如下所示：

54

2a. 第一個面板使用儲存的搜尋總檢視 (昨天)，且為單一值面板。

2b. 第二個面板使用儲存的搜尋失敗的購買數 (昨天)，且為單一值面板。

2c. 第三個面板使用儲存的搜尋錯誤 (昨天)，且為事件清單面板。

3. 新增面板後，請拖曳面板以將其重新排列為儀表板螢幕擷取畫面所示。

這是您的鮮花禮品店作業儀表板。


現在您已建立及儲存儀表板，可列印儀表板、產生儀表板面板的 PDF 檔案和排程 PDF 的遞送。如需更多資訊，請繼續下一個主題！

檢視與列印儀表板檢視與列印儀表板

在之前的主題中，您已使用在整個教學中執行的搜尋與報告，建立及儲存兩個儀表板。

Splunk 可讓您按一下按鈕，即可產生儀表板的 PDF。您也可以安排讓 Splunk 依定期排程產生 PDF，並將其傳送給專案關係人。

本主題討論用於檢視、列印儀表板及產生儀表板 PDF 的選項。

檢視儲存的儀表板檢視儲存的儀表板

在 [儀表板和檢視] 下方的 [搜尋] 應用套件中找到儲存的儀表板：

55

您也可以從此清單編輯或管理現有儀表板。讓我們檢視其中一個儀表板。

從清單選擇 [鮮花禮品店 - 產品]。

儀表板列印與儀表板列印與 PDF 選項選項

在 [鮮花禮品店 - 產品] 儀表板上方，您應該會看到列印與 PDF 選項：

(請記住，您會在關閉 [編輯] 時看到這些選項。)

列印儀表板列印儀表板

[列印] 選項很簡單 -- 就像列印網頁一樣。當您想要列印儀表板視窗的內容時，請選擇此選項。此選項會以可列印格式顯示您的儀表板，並開啟瀏覽器的列印對話方塊。

產產生儀表板生儀表板 PDF

當您在 Splunk 中檢視儀表板時，按一下 [產生 PDF] 可產生您可以透過瀏覽器或 PDF 檢視器應用套件檢視的 PDF。產生的 PDF 會顯示在瀏覽器視窗中，或在 PDF 檢視器應用套件中開啟，並顯示最多精確到按一下按鈕時的結果。

註：如果您的圖表標題包含 & 符號字元，則該面板不會包含於 PDF。您可以編輯面板以變更標題名稱。

如需有關此功能的更多資訊，請參閱《資料視覺化手冊》中的＜產生儀表板 PDF＞。

透過電子郵件排程儀表板透過電子郵件排程儀表板 PDF 遞送遞送

1. 若要透過電子郵件設定排程儀表板 PDF 遞送，請按一下儀表板上方的 [排程 PDF 遞送] 開啟 [排程 PDF 遞送] 對話方塊。

2. 從 [電子郵件排程] 清單選擇預先定義的電子郵件遞送排程，或使用標準 cron 標記法定義您自己的排程。當您從清單選擇 [Cron...] 選項時，系統便會顯示可供您輸入 cron 排程的欄位。

3. 在 [遞送至] 下方輸入一或多個以逗號分隔的電子郵件位址，然後在 [紙張設定] 下方選擇 Splunk 將產生的 PDF 紙張大小與方向。

4. 您可以測試您的設定。按一下 [預覽]，檢視您的收件者將看到的 PDF 的預覽。按一下 [傳送測試電子郵件]，確認電子郵件設定是否正確運作。

5. 填寫所有項目後，按一下 [排程]。

傳送電子郵件時，每個儀表板 PDF 都會顯示產生儀表板時正確的結果。

如需有關此功能的更多資訊，請參閱《資料視覺化手冊》中的＜產生儀表板 PDF＞。

56

更多關於整合更多關於整合 PDF 產產生的資訊生的資訊

Splunk Web 中的 PDF 功能不再需要您安裝 (現在不建議的) [PDF 報告伺服器] 應用套件。此外，非使用者介面 PDF報告功能會使用此新的整合 PDF 產生。

例外包括使用進階 XML 建立的表單、儀表板，以及擁有以 Flash 而非 JavaScript 轉譯面板的簡單 XML 儀表板。如需有關此功能需求的更多資訊，請參閱《安裝手冊》中的＜升級 Splunk Web 的 PDF 列印功能＞。


現在您已完成教學，準備瞭解更多 Splunk！

更多更多 Splunk！！

接下來會發生什接下來會發生什麼麼？？

本教學為您介紹某些主要的 Splunk 功能：搜尋、報告與建立儀表板。但本教學幾乎未觸及 Splunk 功能的皮毛。

以下是 Splunk 核心說明文件集中的其他手冊：

管理員。此手冊是內含適用於 Splunk 管理員重要資訊與程序的幾本書之一。知識管理員。此手冊說明如何管理 Splunk 知識物件，例如事件類型、標記、查閱、欄位擷取、工作流程動作、儲存的搜尋和檢視。警示。此手冊說明 Splunk 的警示與監控功能。資料視覺化。此手冊說明 Splunk 所提供的視覺化範圍。搜尋。此手冊包含如何搜尋和使用 Splunk 搜尋語言的說明。搜尋參考。此參考包含 Splunk 搜尋命令的詳細目錄。開發 Splunk Web 的檢視與應用套件。此手冊說明如何使用進階 XML 開發檢視與應用套件。其中也包含其他開發人員主題，例如自訂指令碼與擴充 Splunk。REST API 參考。此手冊提供有關所有可公開存取之 REST API 端點的資訊。版本資訊。您可以在此找到有關新功能、已知問題和已修正問題的相關資訊。

祝您使用 Splunk 愉快！

57

Splunk 教學 - Splunk Documentationdocs.splunk.com/images/d/db/Tutorial_zh_TW_502.pdf · 簡介 歡迎使用 Splunk 教學！ Splunk 是什麼？ Splunk 是一個可從構成您

Documents

Splunk 教學 - Splunk Documentationdocs.splunk.com/images/d/db/Tutorial_zh_TW_502.pdf · 簡介歡迎使用 Splunk 教學！ Splunk 是什麼？ Splunk 是一個可從構成您