Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Stellen Sie eine Connect zu einer Splunk-Datenquelle her
<a name="splunk-datasource"></a>

**Anmerkung**  
Diese Datenquelle ist nur für Grafana Enterprise bestimmt. Weitere Informationen finden Sie unter [Zugriff auf Enterprise-Plugins verwalten](upgrade-to-enterprise-plugins.md).  
In Workspaces, die Version 9 oder neuer unterstützen, müssen Sie für diese Datenquelle möglicherweise außerdem das entsprechende Plugin installieren. Weitere Informationen finden Sie unter [Erweitere deinen Workspace mit Plugins](grafana-plugins.md).

## Konfiguration
<a name="splunk-configuration-3"></a>

### Konfiguration der Datenquelle
<a name="splunk-data-source-config"></a>

 Stellen Sie bei der Konfiguration der Datenquelle sicher, dass das URL-Feld den von Ihnen konfigurierten Splunk-Port verwendet `https` und auf diesen verweist. Der Standard-Splunk-API-Punkt ist 8089, nicht 8000 (dies ist der Standard-Web-UI-Port). Aktivieren Sie *Basic Auth und geben Sie den Splunk-Benutzernamen und das* Passwort an. 

#### Browser-Zugriffsmodus (direkter Zugriff) und CORS
<a name="splunk-browser-direct-access-mode-and-cors"></a>

 Amazon Managed Grafana unterstützt keinen direkten Browserzugriff auf die Splunk-Datenquelle. 

### Erweiterte Optionen
<a name="splunk-advanced-options"></a>

#### Stream-Modus
<a name="stream-mode"></a>

 Aktivieren Sie den Stream-Modus, wenn Sie Suchergebnisse erhalten möchten, sobald sie verfügbar sind. Dies ist eine experimentelle Funktion. Aktivieren Sie sie erst, wenn Sie sie wirklich benötigen. 

#### Ergebnis der Umfrage
<a name="splunk-poll-result"></a>

 Führen Sie die Suche aus und überprüfen Sie dann regelmäßig das Ergebnis. Unter der Haube führt diese Option einen `search/jobs` API-Aufruf mit der `exec_mode` Einstellung auf aus`normal`. In diesem Fall gibt die API-Anfrage die Job-SID zurück, und Grafana überprüft dann von Zeit zu Zeit den Jobstatus, um das Job-Ergebnis zu erhalten. Diese Option kann bei langsamen Abfragen hilfreich sein. Standardmäßig ist diese Option deaktiviert und Grafana legt fest`oneshot`, was `exec_mode` die Rückgabe von Suchergebnissen im selben API-Aufruf ermöglicht. Weitere Informationen zum `search/jobs` API-Endpunkt finden Sie in den [Splunk-Dokumenten](https://docs.splunk.com/Documentation/Splunk/latest/RESTREF/RESTsearch#search.2Fjobs). 

#### Abfrageintervall für die Suche
<a name="splunk-search-polling-interval"></a>

 Mit dieser Option können Sie einstellen, wie oft Amazon Managed Grafana Splunk nach Suchergebnissen abfragt. Zeit für die nächste Umfrage, wobei nach dem Zufallsprinzip aus dem Intervall [min, max.) ausgewählt wird. Wenn Sie viele umfangreiche Suchanfragen durchführen, ist es sinnvoll, diese Werte zu erhöhen. Tipps: Erhöhen Sie *Min*, wenn die Ausführung von Suchaufträgen lange dauert, und *Max*, wenn Sie viele parallel Suchen ausführen (viele Splunk-Metriken im Grafana-Dashboard). Die Standardeinstellung ist ein Intervall von [500, 3000) Millisekunden. 

#### Automatische Stornierung
<a name="auto-cancel"></a>

 Falls angegeben, wird der Job nach so vielen Sekunden Inaktivität automatisch abgebrochen (0 bedeutet, dass kein automatischer Abbruch erfolgt). Die Standardeinstellung ist 30. 

#### Status-Buckets
<a name="status-buckets"></a>

 Die meisten zu generierenden Status-Buckets. 0 bedeutet, dass keine Zeitleisteninformationen generiert werden. Die Standardeinstellung ist 300. 

#### Suchmodus für Felder
<a name="splunk-fields-search-mode"></a>

 Wenn Sie den Visual Query Editor verwenden, versucht die Datenquelle, eine Liste der verfügbaren Felder für den ausgewählten Quelltyp abzurufen. 
+  schnell — verwendet das erste verfügbare Ergebnis aus der Vorschau 
+  voll — warten Sie, bis der Job abgeschlossen ist, und erhalten Sie das vollständige Ergebnis. 

#### Frühester Standardzeitpunkt
<a name="default-earliest-time"></a>

 Bei einigen Suchanfragen kann der Zeitbereich des Dashboards nicht verwendet werden (z. B. Abfragen mit Vorlagenvariablen). Diese Option trägt dazu bei, die Suche für alle Zeiten zu verhindern, was Splunk verlangsamen kann. Die Syntax besteht aus einer Ganzzahl und einer Zeiteinheit. `[+|-]<time_integer><time_unit>` Zum Beispiel `-1w`. [Die Zeiteinheit](https://docs.splunk.com/Documentation/Splunk/latest/Search/Specifytimemodifiersinyoursearch) kann sein`s, m, h, d, w, mon, q, y`. 

#### Suchmodus für Variablen
<a name="splunk-variables-search-mode"></a>

 Suchmodus für Abfragen von Vorlagenvariablen. Mögliche Werte: 
+  schnell — Die Felderkennung für die Suche nach Ereignissen ist deaktiviert. Keine Ereignis- oder Felddaten für die Suche nach Statistiken. 
+  smart — Felderkennung für die Suche nach Ereignissen aktiviert. Keine Ereignis- oder Felddaten für die Suche nach Statistiken. 
+  ausführlich — Alle Ereignis- und Felddaten. 

## Usage
<a name="splunk-usage-5"></a>

### Abfrage-Editor
<a name="splunk-query-editor-2"></a>

#### Editor-Modi
<a name="splunk-editor-modes"></a>

 Der Abfrage-Editor unterstützt zwei Modi: roh und visuell. Um zwischen diesen Modi zu wechseln, wählen Sie das Hamburger-Symbol auf der rechten Seite des Editors und dann die Option Editor-Modus *ein-/ausschalten*. 

#### Raw-Modus
<a name="raw-mode"></a>

 Verwenden Sie den `timechart` Befehl für Zeitreihendaten, wie im folgenden Codebeispiel gezeigt. 

```
index=os sourcetype=cpu | timechart span=1m avg(pctSystem) as system, avg(pctUser) as user, avg(pctIowait) as iowait
index=os sourcetype=ps | timechart span=1m limit=5 useother=false avg(cpu_load_percent) by process_name
```

 Abfragen unterstützen Vorlagenvariablen, wie im folgenden Beispiel gezeigt. 

```
sourcetype=cpu | timechart span=1m avg($cpu)
```

 Denken Sie daran, dass Grafana eine zeitreihenorientierte Anwendung ist und Ihre Suche Zeitreihendaten (Zeitstempel und Wert) oder Einzelwerte zurückgeben sollte. [Informationen zum Befehl [timechart](https://docs.splunk.com/Documentation/Splunk/latest/SearchReference/Timechart) und weitere Suchbeispiele finden Sie in der offiziellen Splunk-Suchreferenz](https://docs.splunk.com/Documentation/Splunk/latest/SearchReference/WhatsInThisManual) 

#### Splunk-Metriken und `mstats`
<a name="splunk-metrics-and-mstats"></a>

 Splunk 7.x bietet `mstats` Befehle zum Analysieren von Metriken. Damit Charts richtig funktionieren`mstats`, sollte es mit einem `timeseries` Befehl kombiniert werden und die `prestats=t` Option muss gesetzt werden. 

```
Deprecated syntax:
| mstats prestats=t avg(_value) AS Value WHERE index="collectd" metric_name="disk.disk_ops.read" OR metric_name="disk.disk_ops.write" by metric_name span=1m
| timechart avg(_value) span=1m by metric_name

Actual:
| mstats prestats=t avg(disk.disk_ops.read) avg(disk.disk_ops.write) WHERE index="collectd" by metric_name span=1m
| timechart avg(disk.disk_ops.read) avg(disk.disk_ops.write) span=1m
```

 Weitere Informationen zu `mstats` Befehlen finden Sie in [Splunk Search](https://docs.splunk.com/Documentation/Splunk/latest/SearchReference/Mstats) Reference. 

#### Formatieren als
<a name="format-as"></a>

 Es gibt zwei unterstützte Ergebnisformatmodi: *Zeitreihe* (Standard) und *Tabelle*. Der Tabellenmodus eignet sich für die Verwendung mit dem Tabellenfenster, wenn Sie aggregierte Daten anzeigen möchten. Das funktioniert mit Rohereignissen (gibt alle ausgewählten Felder zurück) und mit der `stats` Suchfunktion, die tabellenähnliche Daten zurückgibt. Beispiele: 

```
index="os" sourcetype="vmstat" | fields host, memUsedMB
index="os" sourcetype="ps" | stats avg(PercentProcessorTime) as "CPU time", latest(process_name) as "Process", avg(UsedBytes) as "Memory" by PID
```

 Das Ergebnis ähnelt dem Tab „*Statistik*“ in der Splunk-Benutzeroberfläche.

 Lesen Sie mehr über die Verwendung von `stats` Funktionen in [Splunk](https://docs.splunk.com/Documentation/Splunk/latest/SearchReference/Stats) Search Reference. 

#### Visueller Modus
<a name="splunk-visual-mode"></a>

In diesem Modus können Sie die Suche Schritt für Schritt erstellen. Beachten Sie, dass in diesem Modus eine `timechart` Splunk-Suche erstellt wird. Wählen Sie einfach Index, Quelltyp und Metriken aus und legen Sie bei Bedarf die Aufteilung nach Feldern fest. 

##### Metrik
<a name="splunk-metric"></a>

 Sie können mehrere Metriken zur Suche hinzufügen, indem Sie die *Plus-Schaltfläche* auf der rechten Seite der Metrikzeile auswählen. Der Metrik-Editor enthält eine Liste häufig verwendeter Aggregationen, aber Sie können hier jede andere Funktion angeben. Wählen Sie einfach ein Agg-Segment (`avg`standardmäßig) und geben Sie ein, was Sie benötigen. Wählen Sie das gewünschte Feld aus der Drop-down-Liste aus (oder geben Sie es ein) und legen Sie einen Alias fest, wenn Sie möchten. 

##### Aufteilen nach und wo
<a name="split-by-and-where"></a>

 Wenn Sie „Nach Feld teilen“ wählen und den Modus „*Zeitreihen*“ verwenden, ist der Editor „Wo“ verfügbar. Wählen Sie *Plus* und dann Operator, Aggregation und Wert aus, zum Beispiel *Where avg in den Top 10.* Beachten Sie, dass diese *Where-Klausel* Teil von *Split by* ist. Weitere Informationen finden Sie unter [Timechart Docs](https://docs.splunk.com/Documentation/Splunk/latest/SearchReference/timechart#where_clause). 

#### Optionen
<a name="splunk-options"></a>

 Um die Standard-Timechart-Optionen zu ändern, wählen Sie in der letzten Zeile **Optionen** aus.

Weitere Informationen zu diesen Optionen finden Sie in den [Timechart-Dokumenten](https://docs.splunk.com/Documentation/Splunk/latest/SearchReference/timechart). 

#### Gerenderte Splunk-Suche
<a name="rendered-splunk-search"></a>

 Wählen Sie den Zielbuchstaben auf der linken Seite, um den Editor zu reduzieren und die gerenderte Splunk-Suche anzuzeigen. 

### Anmerkungen
<a name="splunk-annotations-2"></a>

Verwenden Sie Anmerkungen, wenn Sie Splunk-Benachrichtigungen oder Ereignisse im Diagramm anzeigen möchten. Bei Anmerkungen kann es sich entweder um eine vordefinierte Splunk-Warnung oder um eine reguläre Splunk-Suche handeln. 

#### Splunk-Warnung
<a name="splunk-alert"></a>

 Geben Sie einen Namen für die Warnung ein, oder lassen Sie das Feld leer, um alle ausgelösten Alarme zu erhalten. Vorlagenvariablen werden unterstützt. 

#### Splunk-Suche
<a name="splunk-search"></a>

 Verwenden Sie die Splunk-Suche, um benötigte Ereignisse abzurufen, wie im folgenden Beispiel gezeigt. 

```
index=os sourcetype=iostat | where total_ops > 400
index=os sourcetype=iostat | where total_ops > $io_threshold
```

 Vorlagenvariablen werden unterstützt. 

 Die Option **Ereignisfeld als Text** ist geeignet, wenn Sie den Feldwert als Annotationstext verwenden möchten. Das folgende Beispiel zeigt den Text der Fehlermeldung aus Protokollen. 

```
Event field as text: _raw
Regex: WirelessRadioManagerd\[\d*\]: (.*)
```

 Regex ermöglicht es, einen Teil der Nachricht zu extrahieren. 

### Vorlagenvariablen
<a name="splunk-template-variables"></a>

 Die Funktion für Vorlagenvariablen unterstützt Splunk-Abfragen, die eine Liste von Werten zurückgeben, beispielsweise mit einem `stats` Befehl. 

```
index=os sourcetype="iostat" | stats values(Device)
```

 Diese Abfrage gibt eine Liste von `Device` Feldwerten aus `iostat` der Quelle zurück. Anschließend können Sie diese Gerätenamen für Zeitreihenabfragen oder Anmerkungen verwenden. 

 Es gibt zwei mögliche Arten von Variablenabfragen, die in Grafana verwendet werden können. Die erste ist eine einfache Abfrage (wie zuvor vorgestellt), die eine Liste von Werten zurückgibt. Der zweite Typ ist eine Abfrage, die eine key/value Variable erstellen kann. Die Abfrage sollte zwei Spalten mit dem Namen `_text` und zurückgeben`_value`. Der `_text` Spaltenwert sollte eindeutig sein (wenn er nicht eindeutig ist, wird der erste Wert verwendet). Die Optionen in der Dropdownliste enthalten einen Text und einen Wert, sodass Sie einen benutzerfreundlichen Namen als Text und eine ID als Wert verwenden können. 

 Diese Suche gibt beispielsweise eine Tabelle mit den Spalten `Name` (Docker-Containername) und `Id` (Container-ID) zurück. 

```
source=docker_inspect | stats count latest(Name) as Name by Id | table Name, Id
```

 Um den Container-Namen als sichtbaren Wert für die Variable und die ID als echten Wert zu verwenden, sollte die Abfrage wie im folgenden Beispiel geändert werden. 

```
source=docker_inspect | stats count latest(Name) as Name by Id | table Name, Id | rename Name as "_text", Id as "_value"
```

#### Multi-value Variablen
<a name="splunk-multi-value-variables"></a>

 Es ist möglich, Variablen mit mehreren Werten in Abfragen zu verwenden. Eine interpolierte Suche hängt vom Verwendungskontext der Variablen ab. Es gibt eine Reihe dieser Kontexte, die das Plugin unterstützt. Angenommen, es gibt eine Variable `$container` mit ausgewählten Werten `foo` und`bar`: 
+  Einfacher Filter für `search` Befehle 

  ```
  source=docker_stats $container
  =>
  source=docker_stats (foo OR bar)
  ```
+  Field-value Filter 

  ```
  source=docker_stats container_name=$container
  =>
  source=docker_stats (container_name=foo OR container_name=bar)
  ```
+  Field-value mit dem `IN` Operator und der `in()` Funktion filtern 

  ```
  source=docker_stats container_name IN ($container)
  =>
  source=docker_stats container_name IN (foo, bar)
  
  source=docker_stats | where container_name in($container)
  =>
  source=docker_stats | where container_name in(foo, bar)
  ```

#### Multi-value Variablen und Anführungszeichen
<a name="multi-value-variables-and-quotes"></a>

 Wenn eine Variable in Anführungszeichen (sowohl doppelt als auch einfach) eingeschlossen ist, werden ihre Werte ebenfalls in Anführungszeichen gesetzt, wie im folgenden Beispiel. 

```
source=docker_stats container_name="$container"
=>
source=docker_stats (container_name="foo" OR container_name="bar")

source=docker_stats container_name='$container'
=>
source=docker_stats (container_name='foo' OR container_name='bar')
```