Αν διαβάζετε αυτό το ιστολόγιο για λίγο, θα ξέρετε ότι είμαι μεγάλος θαυμαστής του Splunk, και μάλιστα έφτασα στο σημείο να το Dockerize για χρήση σε περιβάλλον εργαστηρίου/δοκιμών.
Λοιπόν σήμερα θέλω να μιλήσω για μια εντολή στο Splunk που πιστεύω ότι είναι σοβαρά υποτιμημένη: makeresults.
Αποτελέσματα δημιουργίας (τεκμηριώνεται εδώ) σας επιτρέπει να δημιουργείτε ψεύτικα συμβάντα για δοκιμαστικούς σκοπούς. Δεν υποβάλλονται ερωτήματα για ευρετήρια, δεν αγγίζονται δίσκοι, πράγμα που σημαίνει ότι τα αποτελέσματα είναι πολύ πολύ γρήγορα. Και όταν ένα ερώτημα εκτελείται γρήγορα, αυτό σημαίνει ότι μπορείτε να το εκτελέσετε περισσότερες φορές, πράγμα που σημαίνει ότι τα νέα ερωτήματα και το περιεχόμενο θα αναπτυχθούν πιο γρήγορα.
Σε αυτήν την ανάρτηση, θα σας καθοδηγήσω σε έναν τρόπο χρήσης των makeresults για να μάθετε τη διαφορά μεταξύ των εντολών streamstats και eventstats.
Για να ξεκινήσετε, είτε συνδεθείτε στο στιγμιότυπο του Splunk ή περιστρέψτε ένα στιγμιότυπο του Splunk Lab στο Docker πληκτρολογώντας:
bash <(curl -Ls https://bit.ly/splunklab)
Μόλις μπείτε στο Splunk δημιουργήστε 5 δείγματα συμβάντων:
Εντάξει, αυτό είναι υπέροχο – έχουμε 5 συμβάντα που έχουν απλώς χρονικές σημάνσεις, αλλά δεν μπορούμε να προσθέσουμε περισσότερα; Αυτό είναι το Splunk, που σημαίνει ότι μπορούμε να κάνουμε πολλά πράγματα με τα δεδομένα μας.
Ας ξεκινήσουμε αυξάνοντας τον αριθμό των σειρών και προσθέτοντας μερικά τυχαία δεδομένα
| makeresults count=100
| eval newval=(random() % 100) + 1
| streamstats count as event_num
| eval _time=_time - 100 + event_num
Συνεχίσαμε περισσότερα εδώ, ένα eval που δημιουργεί ένα πεδίο που ονομάζεται newval με τυχαία τιμή μεταξύ 1 και 100, και ένα άλλο eval που ορίζει τη χρονική σήμανση κάποια στιγμή στα τελευταία 100 δευτερόλεπτα. Αλλά το πιο ενδιαφέρον κομμάτι είναι η προσθήκη streamstats. Απλώς κοιτάζοντας τα αποτελέσματα, μπορούμε να δούμε ότι το streamstats εκτελεί ότι το stats δίνει εντολή στη ροή για κάθε συμβάν καθώς έρχεται και βασικά μας δίνει έναν μετρητή. Αυτά τα πεδία (event_num) συνεχίζουν να χρησιμοποιούνται από την ακόλουθη εντολή eval. Καθαρός!
Ας κάνουμε λοιπόν λίγο περισσότερα με τα streamstats και τα εξαδέλφια συμβάντα στατιστικά:
| makeresults count=100
| eval newval=(random() % 100) + 1
| streamstats count as event_num
| eval _time=_time - 100 + event_num
| streamstats avg(newval) as avgstreamsum
| eventstats avg(newval) as avgeventsum
| eval diff=abs(avgeventsum - avgstreamsum)
Εδώ έχουμε 3 εντολές. Η πρώτη είναι μια άλλη κλήση στα streamstats, η οποία δημιουργεί τον τρέχοντα μέσο όρο του newval από κάθε εκδήλωση. Η δεύτερη συνάρτηση είναι τα eventstats, η οποία παίρνει τη λογική πίσω από τα streamstats και τα γυρίζει από την πλευρά της – ο μέσος όρος του newval θα υπολογιστεί σε όλα τα συμβάντα εκτός από την υπολογισμένη τιμή θα προστεθεί σε κάθε εκδήλωση ως νέο πεδίο! Τέλος, η τελευταία αξιολόγηση υπολογίζει τη διαφορά μεταξύ των δύο.
Τελευταίο ερώτημα Splunk, γκοοοο!
| makeresults count=100
| eval newval=(random() % 100) + 1
| streamstats count as event_num
| eval _time=_time - 100 + event_num
| streamstats avg(newval) as avgstreamsum
| eventstats avg(newval) as avgeventsum
| eval diff=abs(avgeventsum - avgstreamsum)
| timechart span=1s avg(avgstreamsum) as avg_stream_sum avg(diff) as diff avg(avgeventsum) as avgeventsum
Τώρα έχουμε ένα ωραίο χρονοδιάγραμμα που δείχνει τον μέσο όρο αυτού του πεδίου σε ολόκληρο το σύνολο των γεγονότων, το οποίο είναι μια επίπεδη γραμμή. Στη συνέχεια έχουμε τον μέσο όρο του τομέα μας από κάθε εκδήλωση, και μπορείτε να δείτε ότι είναι παντού από νωρίς, και τελικά κλείνει κατά μέσο όρο. Τέλος, έχουμε μια διαφορά που μας δείχνει τη διαφορά μεταξύ αυτών των δύο μέσων όρων για κάθε γεγονός.
Αυτό είναι το μόνο που έχω για αυτήν την ανάρτηση – απλώς ήθελα να δείξω μια γρήγορη και απλή χρήση των makeresults, καθώς είναι μια από τις αγαπημένες μου εντολές εδώ και αρκετό καιρό. Και αν θέλετε να μάθετε περισσότερα για το Splunk Lab, μπορείτε να επισκεφτείτε τη σελίδα του έργου στο GitHub: https://github.com/dmuth/splunk-lab
