Premiers rapports dans Splunk
Ajout d'un fichier plat à Splunk et exploration des données avec la recherche
Lors de cet exercice, nous allons tenter d'ajouter un fichier d'événements, dont toutes les jointures avec des tables externes ont été préalablement faites.
Nous allons ensuite tenter de répondre à quelques questions que la direction marketing pourrait se poser et dresser un tableau de bord réunissant l'ensemble des rapports créés.
Lancement de Splunk
Après installation, démarrer Splunk.
Un formulaire apparaît. Les identifiants de connexion sont :
Identifiant : admin
Mot de passe : changeme
Question
Ajouter le fichier Lightsaber.csv au moteur de Splunk, en s'assurant que le timestamp soit bien pris en compte.
Le timestamp n'est pas reconnu, il faut donc indiquer au parseur le format de la date, au format de la fonction strptime()
Le voici :
%Y-%m-%d %H:%M:%S
Les dates peuvent être considérées comme hors-limites. Il faut donc ajouter un paramètre dans la barre latérale gauche sous la liste Avancé. Le paramètre s'appelle MAX_DAYS_AGO et il faut le mettre à 20000 par exemple.
Solution détaillée
Au lancement, dans l'écran d'accueil, on choisit Ajouter des données.
Cliquer sur Upload pour téléverser le fichier .csv. On pourrait aussi ajouter des connexions.
Sélectionner le fichier sur le disque. On obtient un aperçu des données.
Si la colonne _time (qui tente de retrouver l'horodatage) indique une date incorrecte, c'est qu'il n'arrive pas à parser la date.
Naviguer dans le sous-menu latéral Horodatage. Sélectionner Advanced, et insérer l'expression suivante dans le champ Timestamp format.
On pourrait aussi ajouter les noms de chaque champ s'il n'est pas inclus dans le fichier. Ici ce n'est pas nécessaire.
%Y-%m-%d %H:%M:%S
Enregistrer le fichier en lui donnant un nom, qui sera la source dans le champ de recherche. Puis cliquer sur Suivant, jusqu'à obtenir l'interface de recherche.
L'interface de recherche dispose d'un champ qui permet d'écrire une requête SPL au choix.
Question
Effectuer une recherche simple pour obtenir un graphe de l'évolution des ventes au cours du temps.
Dans le champ de recherche, entre la source, un pipe, puis la requête désirée.
Naviguer dans les onglets pour trouver la visualisation sous forme de graphe.
Dans le champ de recherche, écrire après le pipe :
|timechart count
En effet, timechart permet une étude en fonction du temps, tandis que count compte les lignes correspondantes. En pressant Entrer, on obtient un tableau de résultat. En cliquant sur l'onglet Visualisation, on obtient un graphe temporel. Au survol, on peut visualiser les données.
Question
Afin de monitorer l'évolution des ventes, on veut créer un rapport, qui pourra afficher le tableau des ventes par jour de la semaine sur toute la durée.
Créez ce rapport.
Pensez aux macros de temps : ici on prendra date_wday.
On souhaite obtenir un graphique du nombre de ventes par jour de la semaine, soit traduit en SPL :
|chart count by date_wday
Dans visualisation, on peut voir le graphique, et choisir sa forme.
On préférera un diagramme en colonnes, plus parlant.
Pour créer un rapport avec le graphe, cliquer sur Enregistrer sous en haut à droite, puis Rapport. Donnez-lui ensuite un nom.
Question
On souhaite obtenir le même graphe de données qu'auparavant, mais seulement pour les quatre derniers mois de l'année 2008, recherche qui semble intéressante à la direction marketing.
L'étendue de temps se règle avec le sélecteur à droite du champ de recherche.
Utilisez la même requête, mais en cliquant sur le sélecteur (par défaut sur "Tout le temps") à droite du champ de recherche. Sélectionner Date et Période, puis "Entrer". Là , dans les champs, indiquez les dates 09/01/2008 et 12/31/2008. En relançant la recherche, on obtient le graphique.
Question
On veut voir comment cette statistique sur 4 mois s'est traduite mois par mois.
Pour voir une étude en fonction du temps, on va remplacer le mot-clé chart par le mot-clé timechart. En relançant la recherche, on retrouve le graphique, mais on a maintenant la dimension temps en plus, qui permet de voir les évolutions.
La nouvelle recherche est :
source="lightsaber.csv" |timechart count by date_wday
On obtient :
