3.8 使用散点图根据大小和响应时间标识离散的请求
如之前各个章节所示,可以通过创建可视化图表来获取大量信息,这些图表可以总结当前应用程序状态,分析性能数据随时间的变化,或者比较各个值的关系。然而,如果想识别那些零星时间或随机时间点上偏离主体的离散事件,应该怎么做呢?当观看柱状图、单值计量器和饼图时,这些事件可能无法被正确地反映,因为相对大多数计算,它们就像雷达远处的一个光点。然而有时候这些离散事件能指示问题的存在。
在本节中,我们将写一个非常简单的Splunk搜索来标绘Web请求数据的一些元素,将其用列表的形式呈现。之后将用散点图形象地呈现这些值。
做好准备
要进行本节操作,我们需要运行Splunk Enterprise服务器,导入和第1章相同的样本数据。你已经很熟悉Splunk搜索栏、时间选择器和“可视化”标签了。虽然不强制要求,但最好先完成之前所有章节的学习。
如何操作
按照下列步骤使用散点图按照大小和响应时间来标识离散的请求:
- 登录Splunk服务器。
- 选择默认的“搜索和报表”应用程序。
- 设定时间选择器为“过去24小时”,在Splunk搜索栏输入下列搜索,然后单击放大镜图标或按Enter键。
- Splunk为每个事件返回method、kb和response字段的值的列表。
- 点击“可视化”标签,然后从可视化类型下拉列表选择“散点图”来使用散点图呈现数据。会看到正常活动的聚合点和一些远离主体的离散值。
- 单击“保存为”,选择“报表”,保存此次搜索结果。将报表命名为cp03_discrete_requests_size_response,单击“保存”。在下一页,单击“添加至仪表盘”。
- 我们现在将它添加到Website Monitoring仪表盘。选择“现有”标签,从下拉菜单中选择Website Monitoring仪表盘。在“面板标题”字段,输入Discrete Requests by Size and Response,选择由“报表”支持面板,单击“保存”。
- 下一页会确认仪表盘已经创建成功并且已经添加了面板。可点击“浏览仪表盘”进行查看。散点图可视化图表位于仪表盘之前所添加面板的下方。
工作原理
让我们把搜索一段段分开。
更多内容
除将表格形式的数据点标绘为散点图,还可利用timechart命令和其函数来更好地识别这些离散值并提供更多背景知识。
使用时间序列数据点制作散点图
使用timechart命令和其提供的所有函数,可以修改本节的Splunk搜索。使用“可视化”标签和散点图,执行下列Splunk搜索,时间范围为“过去24小时”:
我们可以看到,借助timechart命令,先把事件按span参数设定的5分钟间隔分段。然后计算出kb字段在给定时间段的mean、min和max值。这样,如有离散值,就会更清晰地显示出让该时间段的事件变得离散的原因。下面截图中可以看到这个例子。在这个散点图中,加亮了一个离散值,它离正常的事件群很远。借助min和max值可以理解它从这个事件序列分离出来的原因。
另参见
时间: 2024-10-24 09:12:52