Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Conexión de un origen de datos de Splunk
<a name="splunk-datasource"></a>

**nota**  
Este origen de datos es solo para Grafana Enterprise. Para obtener más información, consulte [Administración del acceso a los complementos empresariales](upgrade-to-enterprise-plugins.md).  
Además, en los espacios de trabajo compatibles con la versión 9 o posterior, es posible que se deba instalar el complemento adecuado para este origen de datos. Para obtener más información, consulte [Ampliación de su espacio de trabajo con complementos](grafana-plugins.md).

## Configuración
<a name="splunk-configuration-3"></a>

### Configuración del origen de datos
<a name="splunk-data-source-config"></a>

 Al configurar el origen de datos, asegúrese de que el campo URL utilice `https` y apunte al puerto de Splunk configurado. El punto predeterminado de la API de Splunk es 8089, no 8000 (este es el puerto de IU web predeterminado). Habilite *Basic Auth* y especifique el nombre de usuario y la contraseña de Splunk. 

#### Modo de acceso (directo) del navegador y CORS
<a name="splunk-browser-direct-access-mode-and-cors"></a>

 Amazon Managed Grafana no admite el acceso directo del navegador al origen de datos de Splunk. 

### Opciones avanzadas
<a name="splunk-advanced-options"></a>

#### Modo de transmisión
<a name="stream-mode"></a>

 Habilite el modo de transmisión si quiere obtener resultados de búsqueda a medida que estén disponibles. Esta es una característica experimental, no la habilite hasta que realmente la necesite. 

#### Resultado de sondeo
<a name="splunk-poll-result"></a>

 Ejecute la búsqueda y, a continuación, compruebe periódicamente el resultado. En resumen, esta opción ejecuta una llamada a la API `search/jobs` con el valor `exec_mode` establecido en `normal`. En este caso, la solicitud de la API devuelve el SID del trabajo y, a continuación, Grafana comprueba el estado del trabajo de cuando en cuando para obtener el resultado del trabajo. Esta opción puede resultar útil para las consultas lentas. De forma predeterminada, esta opción está deshabilitada y Grafana establece `exec_mode` en `oneshot` que permite devolver el resultado de la búsqueda en la misma llamada a la API. Encuentre más información sobre el punto de conexión de la API `search/jobs` en los [documentos de Splunk](https://docs.splunk.com/Documentation/Splunk/latest/RESTREF/RESTsearch#search.2Fjobs). 

#### Búsqueda de un intervalo de sondeo
<a name="splunk-search-polling-interval"></a>

 Esta opción permite ajustar la frecuencia con la que Amazon Managed Grafana sondeará a Splunk para obtener resultados de búsqueda. La hora de la próxima encuesta se elige al azar entre un intervalo [mínimo, máximo). Si se hacen muchas búsquedas intensivas, es adecuado aumentar estos valores. Consejos: aumente el *mínimo* si la ejecución de los trabajos de búsqueda demora mucho y el *máximo* si se hacen muchas búsquedas paralelas (muchas métricas de Splunk en el panel de Grafana). El valor predeterminado es un intervalo de [500, 3000) milisegundos. 

#### Cancelación automática
<a name="auto-cancel"></a>

 Si se especifica, el trabajo se cancela automáticamente después de tantos segundos de inactividad (0 significa que nunca se cancela automáticamente). El valor predeterminado es 30. 

#### Buckets de estado
<a name="status-buckets"></a>

 El mayor número de buckets de estado que se pueden generar. Un 0 indica que no se genera información de la escala de tiempo. El valor predeterminado es 300. 

#### Modo de búsqueda de campos
<a name="splunk-fields-search-mode"></a>

 Cuando utiliza el editor visual de consultas, el origen de datos intenta obtener una lista de los campos disponibles para el tipo de origen seleccionado. 
+  rápido: utilice el primer resultado disponible de la vista previa 
+  completo: espere a que finalice el trabajo y obtenga el resultado completo. 

#### La primera hora predeterminada
<a name="default-earliest-time"></a>

 Algunas búsquedas no pueden utilizar el intervalo de tiempo del panel (como las consultas de variables de plantilla). Esta opción ayuda a evitar la búsqueda permanente, lo que puede ralentizar Splunk. La sintaxis es un número entero y una unidad de tiempo `[+|-]<time_integer><time_unit>`. Por ejemplo, `-1w`. [Unidad de tiempo](https://docs.splunk.com/Documentation/Splunk/latest/Search/Specifytimemodifiersinyoursearch) puede ser `s, m, h, d, w, mon, q, y`. 

#### Modo de búsqueda de variables
<a name="splunk-variables-search-mode"></a>

 Modo de búsqueda para consultas de variables de plantilla. Valores posibles: 
+  rápido: la detección de campos está desactivada para las búsquedas de eventos. No hay datos de eventos o campos para las búsquedas de estadísticas. 
+  inteligente: la detección de campos está activada en las búsquedas de eventos. No hay datos de eventos o campos para las búsquedas de estadísticas. 
+  detallado: todos los datos de eventos y campos. 

## De uso
<a name="splunk-usage-5"></a>

### Editor de consultas
<a name="splunk-query-editor-2"></a>

#### Modos de editor
<a name="splunk-editor-modes"></a>

 El editor de consultas admite dos modos: sin procesar y visual. Para cambiar entre estos modos, elija el icono de una hamburguesa en la parte derecha del editor y seleccione *Alternar el modo editor*. 

#### Modo sin procesar
<a name="raw-mode"></a>

 Utilice el comando `timechart` para los datos de serie temporal, tal y como se muestra en el siguiente ejemplo de código. 

```
index=os sourcetype=cpu | timechart span=1m avg(pctSystem) as system, avg(pctUser) as user, avg(pctIowait) as iowait
index=os sourcetype=ps | timechart span=1m limit=5 useother=false avg(cpu_load_percent) by process_name
```

 Las consultas admiten variables de plantilla, como se muestra en el ejemplo siguiente. 

```
sourcetype=cpu | timechart span=1m avg($cpu)
```

 Tenga en cuenta que Grafana es una aplicación orientada a series temporales y su búsqueda debe devolver datos de serie temporal (marca de tiempo y valor) o un valor único. Puede leer sobre el comando [timechart](https://docs.splunk.com/Documentation/Splunk/latest/SearchReference/Timechart) y encontrar más ejemplos de búsqueda en la [referencia oficial de búsqueda de Splunk](https://docs.splunk.com/Documentation/Splunk/latest/SearchReference/WhatsInThisManual). 

#### Métricas y `mstats` de Splunk
<a name="splunk-metrics-and-mstats"></a>

 Splunk 7.x proporciona un comando `mstats` para analizar las métricas. Para que los gráficos funcionen correctamente con `mstats`, se debe combinar con un comando `timeseries` y se debe establecer la opción `prestats=t`. 

```
Deprecated syntax:
| mstats prestats=t avg(_value) AS Value WHERE index="collectd" metric_name="disk.disk_ops.read" OR metric_name="disk.disk_ops.write" by metric_name span=1m
| timechart avg(_value) span=1m by metric_name

Actual:
| mstats prestats=t avg(disk.disk_ops.read) avg(disk.disk_ops.write) WHERE index="collectd" by metric_name span=1m
| timechart avg(disk.disk_ops.read) avg(disk.disk_ops.write) span=1m
```

 Encuentre más información sobre el comando `mstats` en la [referencia de búsqueda de Splunk](https://docs.splunk.com/Documentation/Splunk/latest/SearchReference/Mstats). 

#### Formateo como
<a name="format-as"></a>

 Se admiten dos modos de formato de los resultados: *series temporales* (predeterminado) y *tabla*. El modo de tabla es adecuado para utilizarlo con el panel de tablas cuando se quieren mostrar datos agregados. Funciona con eventos sin procesar (devuelve todos los campos seleccionados) y con la función de búsqueda `stats`, que devuelve datos similares a los de una tabla. Ejemplos: 

```
index="os" sourcetype="vmstat" | fields host, memUsedMB
index="os" sourcetype="ps" | stats avg(PercentProcessorTime) as "CPU time", latest(process_name) as "Process", avg(UsedBytes) as "Memory" by PID
```

 El resultado es similar a la pestaña *Estadísticas* de la interfaz de usuario de Splunk.

 Consulte más información sobre el uso de la función `stats` en la [referencia de búsqueda de Splunk](https://docs.splunk.com/Documentation/Splunk/latest/SearchReference/Stats). 

#### Modo visual
<a name="splunk-visual-mode"></a>

Este modo permite crear búsquedas paso a paso. Tenga en cuenta que este modo crea una búsqueda de Splunk de `timechart`. Solo tiene que seleccionar el índice, el tipo de origen y las métricas, y configurar la división por campos si lo desea. 

##### Métrica
<a name="splunk-metric"></a>

 Para agregar varias métricas a la búsqueda, elija el botón *más* situado en el lado derecho de la fila de métricas. El editor de métricas contiene una lista de las agregaciones más utilizadas, pero aquí puede especificar cualquier otra función. Solo tiene que elegir un segmento agg (el valor predeterminado es `avg`) y escribir lo que necesite. Seleccione el campo que le interese en la lista desplegable (o ingréselo) y establezca un alias si lo desea. 

##### Split by y Where
<a name="split-by-and-where"></a>

 Si establece el campo Split by y usa el modo de *series temporales*, estará disponible el editor Where. Elija el signo *más* y seleccione el operador, la agregación y el valor, por ejemplo, *Where avg en los 10 principales*. Tenga en cuenta que esta cláusula *Where* forma parte de *Split by*. Consulte más información en los [documentos de timechart](https://docs.splunk.com/Documentation/Splunk/latest/SearchReference/timechart#where_clause). 

#### Opciones
<a name="splunk-options"></a>

 Para cambiar las opciones predeterminadas del comando timechart, seleccione **Opciones** en la última fila.

Consulte más información sobre estas opciones en los [documentos de timechart](https://docs.splunk.com/Documentation/Splunk/latest/SearchReference/timechart). 

#### Búsqueda de Splunk renderizada
<a name="rendered-splunk-search"></a>

 Elija la letra de destino de la izquierda para contraer el editor y mostrar la búsqueda de Splunk renderizada. 

### Anotaciones
<a name="splunk-annotations-2"></a>

Utilice anotaciones si quiere mostrar las alertas o eventos de Splunk en un gráfico. La anotación puede ser una alerta de Splunk predefinida o una búsqueda de Splunk normal. 

#### Alerta de Splunk
<a name="splunk-alert"></a>

 Especifique un nombre de alerta o deje el campo en blanco para ver todas las alertas emitidas. Se admiten las variables de plantilla. 

#### Búsqueda de Splunk
<a name="splunk-search"></a>

 Utilice la búsqueda de Splunk para obtener los eventos necesarios, como se muestra en el ejemplo siguiente. 

```
index=os sourcetype=iostat | where total_ops > 400
index=os sourcetype=iostat | where total_ops > $io_threshold
```

 Se admiten las variables de plantilla. 

 La opción **Campo de evento como texto** es adecuada si quiere usar el valor del campo como texto de anotación. En el ejemplo siguiente, se muestra el texto del mensaje de error de los registros. 

```
Event field as text: _raw
Regex: WirelessRadioManagerd\[\d*\]: (.*)
```

 Expresión regular permite extraer una parte del mensaje. 

### Variables de plantilla
<a name="splunk-template-variables"></a>

 La característica de variables de plantilla admite las consultas de Splunk que devuelven una lista de valores, por ejemplo, con un comando `stats`. 

```
index=os sourcetype="iostat" | stats values(Device)
```

 Esta consulta devuelve una lista de valores de campo `Device` del origen `iostat`. Puede utilizar estos nombres de dispositivos para las consultas o las anotaciones de series temporales. 

 Hay dos tipos posibles de consultas de variables que se pueden utilizar en Grafana. La primera es una consulta simple (como se presentó anteriormente), que devuelve una lista de valores. El segundo tipo es una consulta que puede crear una key/value variable. La consulta debe devolver dos columnas denominadas `_text` y `_value`. El valor de la columna `_text` debe ser único (si no lo es, se utilizará el primer valor). Las opciones de la lista desplegable tendrán un texto y un valor para que pueda asignar un nombre descriptivo como texto y un ID como valor. 

 Por ejemplo, esta búsqueda devuelve una tabla con columnas `Name` (nombre del contenedor de Docker) e `Id` (identificador del contenedor). 

```
source=docker_inspect | stats count latest(Name) as Name by Id | table Name, Id
```

 Para utilizar el nombre del contenedor como un valor visible para la variable y el ID como su valor real, se debe modificar la consulta, como en el siguiente ejemplo. 

```
source=docker_inspect | stats count latest(Name) as Name by Id | table Name, Id | rename Name as "_text", Id as "_value"
```

#### Multi-value variables
<a name="splunk-multi-value-variables"></a>

 Es posible utilizar variables con varios valores en las consultas. Una búsqueda interpolada dependerá del contexto de uso de la variable. Existen varios de esos contextos compatibles con el complemento. Supongamos que hay una variable `$container` con los valores seleccionados `foo` y `bar`: 
+  Filtro básico para el comando `search` 

  ```
  source=docker_stats $container
  =>
  source=docker_stats (foo OR bar)
  ```
+  Field-value filtrar 

  ```
  source=docker_stats container_name=$container
  =>
  source=docker_stats (container_name=foo OR container_name=bar)
  ```
+  Field-value filtrar con el `IN` operador y la `in()` función 

  ```
  source=docker_stats container_name IN ($container)
  =>
  source=docker_stats container_name IN (foo, bar)
  
  source=docker_stats | where container_name in($container)
  =>
  source=docker_stats | where container_name in(foo, bar)
  ```

#### Multi-value variables y comillas
<a name="multi-value-variables-and-quotes"></a>

 Si la variable se encuentra entre comillas (dobles o simples), sus valores también aparecerán entre comillas, como en el ejemplo siguiente. 

```
source=docker_stats container_name="$container"
=>
source=docker_stats (container_name="foo" OR container_name="bar")

source=docker_stats container_name='$container'
=>
source=docker_stats (container_name='foo' OR container_name='bar')
```