Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Connect a una fonte di dati Splunk
<a name="splunk-datasource"></a>

**Nota**  
Questa fonte di dati è solo per Grafana Enterprise. Per ulteriori informazioni, consulta [Gestisci l'accesso ai plugin Enterprise](upgrade-to-enterprise-plugins.md).  
Inoltre, nelle aree di lavoro che supportano la versione 9 o successiva, questa fonte di dati potrebbe richiedere l'installazione del plug-in appropriato. Per ulteriori informazioni, consulta [Estendi il tuo spazio di lavoro con i plugin](grafana-plugins.md).

## Configurazione
<a name="splunk-configuration-3"></a>

### Configurazione dell’origine dati
<a name="splunk-data-source-config"></a>

 Quando configuri l'origine dati, assicurati che il campo URL utilizzi `https` e punti alla porta Splunk configurata. Il punto API Splunk predefinito è 8089, non 8000 (questa è la porta dell'interfaccia utente web predefinita). Abilita l'*autenticazione di base e specifica nome* utente e password Splunk. 

#### Modalità di accesso (diretto) al browser e CORS
<a name="splunk-browser-direct-access-mode-and-cors"></a>

 Amazon Managed Grafana non supporta l'accesso diretto tramite browser all'origine dati Splunk. 

### Opzioni avanzate
<a name="splunk-advanced-options"></a>

#### modalità Stream
<a name="stream-mode"></a>

 Abilita la modalità streaming se desideri ottenere i risultati della ricerca non appena disponibili. Questa è una funzionalità sperimentale, non attivarla finché non ne avrai davvero bisogno. 

#### Risultato del sondaggio
<a name="splunk-poll-result"></a>

 Esegui la ricerca e poi controlla periodicamente i risultati. In altre parole, questa opzione esegue una chiamata `search/jobs` API con `exec_mode` set to`normal`. In questo caso la richiesta API restituisce il SID del lavoro, quindi Grafana controlla di tanto in tanto lo stato del lavoro, per ottenere il risultato del lavoro. Questa opzione può essere utile per le query lente. Per impostazione predefinita, questa opzione è disabilitata e Grafana è impostata `exec_mode` su questa opzione `oneshot` che consente di restituire i risultati della ricerca nella stessa chiamata API. Scopri di più sugli endpoint `search/jobs` API nei documenti di [Splunk](https://docs.splunk.com/Documentation/Splunk/latest/RESTREF/RESTsearch#search.2Fjobs). 

#### Intervallo di sondaggio di ricerca
<a name="splunk-search-polling-interval"></a>

 Questa opzione consente di regolare la frequenza con cui Amazon Managed Grafana interroga Splunk per i risultati di ricerca. Tempo per il prossimo sondaggio, scelta casuale tra un intervallo [minimo, massimo). Se esegui molte ricerche complesse, ha senso aumentare questi valori. Suggerimenti: aumenta *Min* se l'esecuzione dei job di ricerca richiede molto tempo e *Max* se esegui molte ricerche parallele (molte metriche splunk sulla dashboard di Grafana). L'impostazione predefinita è un intervallo di [500, 3000) millisecondi. 

#### Annullamento automatico
<a name="auto-cancel"></a>

 Se specificato, il lavoro viene annullato automaticamente dopo questo numero di secondi di inattività (0 significa che non si annulla mai automaticamente). L'impostazione predefinita è 30. 

#### Bucket di stato
<a name="status-buckets"></a>

 Il maggior numero di bucket di stato da generare. 0 indica di non generare informazioni sulla sequenza temporale. Il valore predefinito è 300. 

#### Modalità di ricerca dei campi
<a name="splunk-fields-search-mode"></a>

 Quando si utilizza l'editor di query visuale, l'origine dati tenta di ottenere l'elenco dei campi disponibili per il tipo di fonte selezionato. 
+  rapido: usa il primo risultato disponibile dall'anteprima 
+  completo: attendi la fine del lavoro e ottieni il risultato completo. 

#### - Prima ora predefinita
<a name="default-earliest-time"></a>

 Alcune ricerche non possono utilizzare l'intervallo di tempo della dashboard (ad esempio le query con variabili relative ai modelli). Questa opzione aiuta a impedire la ricerca continua, il che può rallentare Splunk. La sintassi è un numero intero e un'unità di tempo. `[+|-]<time_integer><time_unit>` Ad esempio, `-1w`. [L'unità di tempo](https://docs.splunk.com/Documentation/Splunk/latest/Search/Specifytimemodifiersinyoursearch) può essere. `s, m, h, d, w, mon, q, y` 

#### Modalità di ricerca delle variabili
<a name="splunk-variables-search-mode"></a>

 Modalità di ricerca per le interrogazioni sulle variabili del modello. Valori possibili: 
+  veloce: la scoperta dei campi è disattivata per le ricerche di eventi. Nessun dato relativo a eventi o campi per le ricerche statistiche. 
+  smart: la funzione Field Discovery è attiva per la ricerca di eventi. Nessun dato relativo a eventi o campi per le ricerche statistiche. 
+  verbose: tutti i dati relativi agli eventi e ai campi. 

## Utilizzo
<a name="splunk-usage-5"></a>

### Editor della query
<a name="splunk-query-editor-2"></a>

#### Modalità di editor
<a name="splunk-editor-modes"></a>

 L'editor di query supporta due modalità: raw e visual. Per passare da una modalità all'altra, scegli l'icona a forma di hamburger sul lato destro dell'editor e seleziona *Attiva* la modalità Editor. 

#### Modalità Raw
<a name="raw-mode"></a>

 Usa `timechart` il comando per i dati delle serie temporali, come mostrato nel seguente esempio di codice. 

```
index=os sourcetype=cpu | timechart span=1m avg(pctSystem) as system, avg(pctUser) as user, avg(pctIowait) as iowait
index=os sourcetype=ps | timechart span=1m limit=5 useother=false avg(cpu_load_percent) by process_name
```

 Le query supportano le variabili modello, come illustrato nell'esempio seguente. 

```
sourcetype=cpu | timechart span=1m avg($cpu)
```

 Tieni presente che Grafana è un'applicazione orientata alle serie temporali e la tua ricerca dovrebbe restituire dati di serie temporali (timestamp e valore) o un valore singolo. [Puoi leggere informazioni sul comando [timechart](https://docs.splunk.com/Documentation/Splunk/latest/SearchReference/Timechart) e trovare altri esempi di ricerca nella guida ufficiale di Splunk Search Reference](https://docs.splunk.com/Documentation/Splunk/latest/SearchReference/WhatsInThisManual) 

#### Splunk Metrics e `mstats`
<a name="splunk-metrics-and-mstats"></a>

 Splunk 7.x fornisce `mstats` comandi per l'analisi delle metriche. Affinché i grafici funzionino correttamente`mstats`, deve essere combinato con il `timeseries` comando e `prestats=t` l'opzione deve essere impostata. 

```
Deprecated syntax:
| mstats prestats=t avg(_value) AS Value WHERE index="collectd" metric_name="disk.disk_ops.read" OR metric_name="disk.disk_ops.write" by metric_name span=1m
| timechart avg(_value) span=1m by metric_name

Actual:
| mstats prestats=t avg(disk.disk_ops.read) avg(disk.disk_ops.write) WHERE index="collectd" by metric_name span=1m
| timechart avg(disk.disk_ops.read) avg(disk.disk_ops.write) span=1m
```

 Scopri di più sul `mstats` comando in [Splunk Search Reference.](https://docs.splunk.com/Documentation/Splunk/latest/SearchReference/Mstats) 

#### Formatta come
<a name="format-as"></a>

 Sono supportate due modalità di formattazione dei risultati: *Serie temporali* (impostazione predefinita) e *Tabella*. La modalità Tabella è adatta all'uso con il pannello Tabella quando si desidera visualizzare dati aggregati. Funziona con eventi non elaborati (restituisce tutti i campi selezionati) e con la funzione `stats` di ricerca, che restituisce dati simili a tabelle. Esempi: 

```
index="os" sourcetype="vmstat" | fields host, memUsedMB
index="os" sourcetype="ps" | stats avg(PercentProcessorTime) as "CPU time", latest(process_name) as "Process", avg(UsedBytes) as "Memory" by PID
```

 Il risultato è simile alla scheda *Statistiche* nell'interfaccia utente di Splunk.

 Scopri di più sull'utilizzo delle `stats` funzioni in [Splunk Search](https://docs.splunk.com/Documentation/Splunk/latest/SearchReference/Stats) Reference. 

#### Modalità visiva
<a name="splunk-visual-mode"></a>

Questa modalità consente la creazione di ricerche passo dopo passo. Nota che questa modalità crea `timechart` una ricerca splunk. Basta selezionare l'indice, il tipo di fonte e le metriche e impostare la suddivisione per campi, se lo desideri. 

##### Metrica
<a name="splunk-metric"></a>

 Puoi aggiungere più metriche alla ricerca selezionando il pulsante *più* sul lato destro della riga della metrica. L'editor delle metriche contiene un elenco di aggregazioni utilizzate di frequente, ma puoi specificare qui qualsiasi altra funzione. Basta scegliere il segmento agg (di `avg` default) e digitare ciò di cui hai bisogno. Seleziona il campo interessato dall'elenco a discesa (o inseriscilo) e imposta l'alias se lo desideri. 

##### Dividi per e dove
<a name="split-by-and-where"></a>

 Se imposti Dividi per campo e utilizzi la modalità *Serie temporali*, l'editor Where sarà disponibile. Scegli *plus* e seleziona operatore, aggregazione e valore, ad esempio *Where avg in top 10*. *Nota, questa clausola *Where* fa parte di Split by.* Scopri di più su [timechart](https://docs.splunk.com/Documentation/Splunk/latest/SearchReference/timechart#where_clause) docs. 

#### Opzioni
<a name="splunk-options"></a>

 Per modificare le opzioni predefinite del diagramma temporale, scegli **Opzioni** nell'ultima riga.

Scopri di più su queste opzioni nei documenti del [timechart](https://docs.splunk.com/Documentation/Splunk/latest/SearchReference/timechart). 

#### Ricerca splunk renderizzata
<a name="rendered-splunk-search"></a>

 Scegli la lettera di destinazione a sinistra per comprimere l'editor e mostrare la ricerca splunk renderizzata. 

### Annotazioni
<a name="splunk-annotations-2"></a>

Usa le annotazioni se vuoi mostrare avvisi o eventi Splunk sul grafico. L'annotazione può essere un avviso Splunk predefinito o una normale ricerca Splunk. 

#### Avviso Splunk
<a name="splunk-alert"></a>

 Specificate il nome di un avviso o lasciate il campo vuoto per visualizzare tutti gli avvisi attivati. Le variabili di modello sono supportate. 

#### Ricerca Splunk
<a name="splunk-search"></a>

 Usa la ricerca splunk per ottenere gli eventi necessari, come mostrato nell'esempio seguente. 

```
index=os sourcetype=iostat | where total_ops > 400
index=os sourcetype=iostat | where total_ops > $io_threshold
```

 Le variabili di modello sono supportate. 

 L'opzione **Campo evento come testo** è adatta se si desidera utilizzare il valore del campo come testo di annotazione. L'esempio seguente mostra il testo dei messaggi di errore dai log. 

```
Event field as text: _raw
Regex: WirelessRadioManagerd\[\d*\]: (.*)
```

 Regex consente di estrarre una parte del messaggio. 

### Variabili del modello
<a name="splunk-template-variables"></a>

 La funzionalità delle variabili modello supporta le query Splunk che restituiscono un elenco di valori, ad esempio con `stats` un comando. 

```
index=os sourcetype="iostat" | stats values(Device)
```

 Questa query restituisce un elenco di valori di `Device` campo dal `iostat` codice sorgente. È quindi possibile utilizzare questi nomi di dispositivi per interrogazioni o annotazioni su serie temporali. 

 Esistono due tipi possibili di interrogazioni variabili che possono essere utilizzate in Grafana. La prima è una semplice interrogazione (come presentata in precedenza), che restituisce un elenco di valori. Il secondo tipo è una query che può creare una key/value variabile. La query dovrebbe restituire due colonne denominate `_text` e`_value`. Il valore della `_text` colonna deve essere univoco (se non è univoco, viene utilizzato il primo valore). Le opzioni nell'elenco a discesa avranno un testo e un valore in modo da poter avere un nome descrittivo come testo e un ID come valore. 

 Ad esempio, questa ricerca restituisce una tabella con colonne `Name` (nome del contenitore Docker) e `Id` (id del contenitore). 

```
source=docker_inspect | stats count latest(Name) as Name by Id | table Name, Id
```

 Per utilizzare il nome del contenitore come valore visibile per la variabile e id come valore reale, è necessario modificare la query, come nell'esempio seguente. 

```
source=docker_inspect | stats count latest(Name) as Name by Id | table Name, Id | rename Name as "_text", Id as "_value"
```

#### Multi-value variabili
<a name="splunk-multi-value-variables"></a>

 È possibile utilizzare variabili multivalore nelle query. Una ricerca interpolata dipenderà dal contesto di utilizzo della variabile. Esistono diversi contesti supportati dal plug-in. Supponiamo che ci sia una variabile `$container` con valori selezionati `foo` e`bar`: 
+  Filtro di base per `search` il comando 

  ```
  source=docker_stats $container
  =>
  source=docker_stats (foo OR bar)
  ```
+  Field-value filtro 

  ```
  source=docker_stats container_name=$container
  =>
  source=docker_stats (container_name=foo OR container_name=bar)
  ```
+  Field-value filtro con l'`IN`operatore e `in()` la funzione 

  ```
  source=docker_stats container_name IN ($container)
  =>
  source=docker_stats container_name IN (foo, bar)
  
  source=docker_stats | where container_name in($container)
  =>
  source=docker_stats | where container_name in(foo, bar)
  ```

#### Multi-value variabili e virgolette
<a name="multi-value-variables-and-quotes"></a>

 Se la variabile è racchiusa tra virgolette (sia doppie che singole), anche i suoi valori verranno citati, come nell'esempio seguente. 

```
source=docker_stats container_name="$container"
=>
source=docker_stats (container_name="foo" OR container_name="bar")

source=docker_stats container_name='$container'
=>
source=docker_stats (container_name='foo' OR container_name='bar')
```