Splunk - 指定向下钻取搜索

时间:2012-10-19 10:08:00

标签: splunk sideviewutils

我对Splunk相对较新,我正在创建一个新视图来显示过去5分钟内某些事件的平均时间。我创建了一个宏搜索来执行搜索,它带有两个参数(事务名称和搜索持续时间),因此在我的第一个面板中,这是EVENT _ * _ LOGIN和-5m。视图当前显示每个不同事件名称的简单结果表。

我想要做的是当用户点击特定行时,它将深入查看过去4小时内该事务的所有事件的时间线视图。有没有办法指定点击或向下钻取显示的信息?

道歉,如果这个含糊不清,请告诉我更多信息。需要的。

提前致谢

2 个答案:

答案 0 :(得分:1)

最简单的方法是使用SideView Utils并利用他们的RedirectorSearch模块根据用户点击的内容自定填充搜索查询。

根据点击的图表

在弹出窗口中打开自定义搜索 
<module name="FlashChart">
    <param name="width">100%</param>
    <module name="Redirector">
        <param name="popup">True</param>
        <param name="url">flashtimeline</param>
        <param name="arg.q">search MyField="$click.value$" eventtype="#$click.name2$" hoursago=4</param>
    </module>
</module>

根据单击的表元素

在弹出窗口中打开自定义搜索 
<module name="SimpleResultsTable">
    <param name="drilldown">all</param> 
    <module name="Redirector">
        <param name="popup">True</param>
        <param name="url">flashtimeline</param>
        <param name="arg.q">search MyField="$click.value$" eventtype="#$click.name2$" hoursago=4</param>
    </module>
</module>

您可以使用Splunk Web安装访问Search / Redirector的文档:

    http://[splunk_web]/en-US/modules#Splunk.Module.Redirector
    http://[splunk_web]/en-US/modules#Splunk.Module.Search

答案 1 :(得分:0)

从Splunk第5版开始,它们现在支持动态下钻。检查文档here,看看是否符合您的要求。

相关问题
最新问题