As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Conectar-se a uma fonte de dados Splunk
**nota**
Essa fonte de dados é somente para o Grafana Enterprise. Para obter mais informações, consulte [Gerenciar o acesso aos plug-ins do Enterprise](upgrade-to-enterprise-plugins.md).
Além disso, em espaços de trabalho compatíveis com a versão 9 ou mais recente, essa fonte de dados pode requerer a instalação do plug-in apropriado. Para obter mais informações, consulte [Ampliar o espaço de trabalho com plug-ins](grafana-plugins.md).
## Configuração
### Configuração da fonte de dados
Ao configurar a fonte de dados, certifique-se de que o campo URL utilize `https` e aponte para a porta Splunk configurada. O ponto padrão da API Splunk é 8089, não 8000 (esta é a porta de interface de usuário da Web padrão). Habilite a *autenticação básica* e especifique o nome de usuário e a senha do Splunk.
#### Modo de acesso (direto) do navegador e CORS
O Amazon Managed Grafana não é compatível com o acesso direto do navegador à fonte de dados Splunk.
### Opções avançadas
#### Modo de streaming
Habilite o modo de streaming se quiser obter os resultados da pesquisa à medida que eles se tornam disponíveis. Este é um recurso experimental. Não o ative até que você realmente precise dele.
#### Resultado da sondagem
Execute a pesquisa e, em seguida, verifique periodicamente o resultado. De modo subjacente, essa opção executa uma chamada da API `search/jobs` com `exec_mode` definido como `normal`. Nesse caso, a solicitação de API retorna o SID do trabalho e, em seguida, o Grafana verifica o status do trabalho periodicamente para obter o resultado dele. Essa opção pode ser útil para consultas lentas. Por padrão, essa opção está desabilitada e o Grafana define `exec_mode` como `oneshot`, o que permite retornar o resultado da pesquisa na mesma chamada de API. Veja mais sobre o endpoint da API `search/jobs` nos [documentos do Splunk](https://docs.splunk.com/Documentation/Splunk/latest/RESTREF/RESTsearch#search.2Fjobs).
#### Intervalo de sondagem de pesquisas
Esta opção permite ajustar a frequência com que o Amazon Managed Grafana pesquisará o Splunk para obter resultados de pesquisa. Hora da próxima pesquisa, escolhendo aleatoriamente o intervalo (mín., máx.). Caso faça muitas pesquisas pesadas, convém aumentar esses valores. Dicas: aumente o *Mín.* se a execução de trabalhos de pesquisa demorar muito, e *Máx.* se você executar muitas pesquisas paralelas (muitas métricas do Splunk no dashboard do Grafana). O padrão é o intervalo de [500, 3.000) milissegundos.
#### Cancelamento automático
Se especificado, o trabalho é cancelado automaticamente após muitos segundos de inatividade (0 significa nunca cancelar automaticamente). O padrão é de 30.
#### Buckets de status
O maior número de buckets de status a serem gerados. 0 indica a não geração de informações da linha do tempo. O padrão é 300.
#### Modo de pesquisa de campos
Quando você usa o editor de consulta visual, a fonte de dados tenta obter uma lista dos campos disponíveis para o tipo de fonte selecionado.
+ rápido: use o primeiro resultado disponível da pré-visualização
+ completo: aguarde a conclusão do trabalho e obtenha o resultado completo.
#### Hora inicial padrão
Algumas pesquisas não podem usar o intervalo de tempo do dashboard (como consultas de variáveis de modelo). Essa opção ajuda a evitar a busca permanente, o que pode atrasar o Splunk. A sintaxe é um número inteiro e uma unidade de tempo `[+|-]`. Por exemplo, `-1w`. A [unidade de tempo](https://docs.splunk.com/Documentation/Splunk/latest/Search/Specifytimemodifiersinyoursearch) pode ser `s, m, h, d, w, mon, q, y`.
#### Modo de pesquisa de variáveis
Modo de pesquisa para consultas de variáveis de modelo. Possíveis valores:
+ rápido: descoberta de campo desativada para pesquisas de eventos. Nenhum evento ou dados de campo para pesquisas de estatísticas.
+ smart: descoberta de campo ativada para pesquisas de eventos. Nenhum evento ou dados de campo para pesquisas de estatísticas.
+ verbose: todos os dados de eventos e de campo.
## Usage
### Editor de consultas
#### Modos do editor
O editor de consultas é compatível com dois modos: bruto e visual. Para alternar entre esses modos, escolha o ícone de hambúrguer no lado direito do editor e selecione *Alternar modo do editor*.
#### Modo bruto
Use o comando `timechart` para dados de séries temporais, conforme mostrado no exemplo de código a seguir.
```
index=os sourcetype=cpu | timechart span=1m avg(pctSystem) as system, avg(pctUser) as user, avg(pctIowait) as iowait
index=os sourcetype=ps | timechart span=1m limit=5 useother=false avg(cpu_load_percent) by process_name
```
As consultas são compatíveis com variáveis de modelo, conforme mostrado no exemplo a seguir.
```
sourcetype=cpu | timechart span=1m avg($cpu)
```
Lembre-se de que o Grafana é uma aplicação orientada por séries temporais e sua pesquisa deve retornar dados de séries temporais (carimbo de data e hora e valor) ou valor único. Você pode ler sobre o comando [timechart](https://docs.splunk.com/Documentation/Splunk/latest/SearchReference/Timechart) e encontrar mais exemplos de pesquisa na [Referência de pesquisa do Splunk](https://docs.splunk.com/Documentation/Splunk/latest/SearchReference/WhatsInThisManual) oficial.
#### Métricas do Splunk e `mstats`
O Splunk 7.x fornece o comando `mstats` para analisar métricas. Para que os gráficos funcionem corretamente com `mstats`, eles devem ser combinados com o comando `timeseries` e a opção `prestats=t` deve ser definida.
```
Deprecated syntax:
| mstats prestats=t avg(_value) AS Value WHERE index="collectd" metric_name="disk.disk_ops.read" OR metric_name="disk.disk_ops.write" by metric_name span=1m
| timechart avg(_value) span=1m by metric_name
Actual:
| mstats prestats=t avg(disk.disk_ops.read) avg(disk.disk_ops.write) WHERE index="collectd" by metric_name span=1m
| timechart avg(disk.disk_ops.read) avg(disk.disk_ops.write) span=1m
```
Leia mais sobre o comando `mstats` na [Referência de pesquisa do Splunk](https://docs.splunk.com/Documentation/Splunk/latest/SearchReference/Mstats).
#### Formatar como
Há dois modos de formato de resultado compatíveis: *Séries temporais* (padrão) e *Tabela*. O modo Tabela é adequado para uso com o painel Tabela quando você deseja exibir dados agregados. Isso funciona com eventos brutos (retorna todos os campos selecionados) e função `stats` de pesquisa, que retorna dados semelhantes a tabelas. Exemplos:
```
index="os" sourcetype="vmstat" | fields host, memUsedMB
index="os" sourcetype="ps" | stats avg(PercentProcessorTime) as "CPU time", latest(process_name) as "Process", avg(UsedBytes) as "Memory" by PID
```
O resultado é semelhante à guia *Estatísticas* na interface do usuário do Splunk.
Leia mais sobre o uso da função `stats` na [Referência de pesquisa do Splunk](https://docs.splunk.com/Documentation/Splunk/latest/SearchReference/Stats).
#### Modo Visual
Esse modo fornece a criação step-by-step de pesquisas. Observe que esse modo cria a busca `timechart` do Splunk. Basta selecionar índice, tipo de fonte e métricas e definir a divisão por campos, caso queira.
##### Métrica
Você pode adicionar várias métricas à pesquisa escolhendo o botão de *adição* no lado direito da linha de métrica. O editor de métricas contém uma lista de agregações usadas com frequência, mas você pode especificar aqui qualquer outra função. Basta escolher o segmento agg (`avg` por padrão) e digitar o que você precisa. Selecione o campo de interesse na lista suspensa (ou insira-o) e defina o alias, se quiser.
##### Dividir por e Where
Se você definir o campo Dividir por e usar o modo *Séries temporais*, o editor Where estará disponível. Escolha *mais* e selecione o operador, a agregação e o valor, por exemplo, *Média de Where nos dez primeiros*. Observe que essa cláusula *Where* faz parte de *Dividir por*. Veja mais na [documentação de timechart](https://docs.splunk.com/Documentation/Splunk/latest/SearchReference/timechart#where_clause).
#### Opções
Para alterar as opções padrão de timechart, escolha **Opções** na última linha.
Veja mais sobre essas opções na [documentação de timechart](https://docs.splunk.com/Documentation/Splunk/latest/SearchReference/timechart).
#### Pesquisa do Splunk renderizada
Escolha a letra de destino à esquerda para recolher o editor e mostrar a pesquisa por Splunk renderizada.
### Anotações
Use anotações se quiser mostrar alertas ou eventos do Splunk no grafo. A anotação pode ser um alerta predefinido do Splunk ou uma pesquisa regular do Splunk.
#### Alerta do Splunk
Especifique um nome de alerta ou mantenha o campo em branco para receber todos os alertas disparados. As variáveis de modelo são compatíveis.
#### Pesquisa do Splunk
Use a pesquisa do Splunk para obter os eventos necessários, conforme mostrado no exemplo a seguir.
```
index=os sourcetype=iostat | where total_ops > 400
index=os sourcetype=iostat | where total_ops > $io_threshold
```
As variáveis de modelo são compatíveis.
A opção **Campo de evento como texto** será adequada se você quiser usar o valor do campo como texto de anotação. O exemplo a seguir mostra o texto da mensagem de erro dos logs.
```
Event field as text: _raw
Regex: WirelessRadioManagerd\[\d*\]: (.*)
```
Regex permite extrair uma parte da mensagem.
### Variáveis de modelo
O recurso de variáveis de modelo é compatível com consultas do Splunk que retornam uma lista de valores, por exemplo, com o comando `stats`.
```
index=os sourcetype="iostat" | stats values(Device)
```
Essa consulta retorna uma lista de valores do campo `Device` da fonte `iostat`. Em seguida, você pode usar esses nomes de dispositivos para consultas ou anotações de séries temporais.
Existem dois tipos possíveis de consultas variáveis que podem ser usadas no Grafana. A primeira é uma consulta simples (conforme apresentada anteriormente), que retorna uma lista de valores. O segundo tipo é uma consulta que pode criar uma key/value variável. A consulta deve retornar duas colunas denominadas `_text` e `_value`. O valor da coluna `_text` deve ser exclusivo (se não for exclusivo, o primeiro valor será usado). As opções na lista suspensa terão um texto e um valor para que você possa ter um nome amigável como texto e uma ID como o valor.
Por exemplo, essa pesquisa retorna uma tabela com colunas `Name` (nome do contêiner do Docker) e `Id` (ID do contêiner).
```
source=docker_inspect | stats count latest(Name) as Name by Id | table Name, Id
```
Para usar o nome do contêiner como um valor visível para a variável e o ID como seu valor real, a consulta deve ser modificada, como no exemplo a seguir.
```
source=docker_inspect | stats count latest(Name) as Name by Id | table Name, Id | rename Name as "_text", Id as "_value"
```
#### Variáveis de vários valores
É possível usar variáveis de vários valores em consultas. Uma pesquisa interpolada dependerá do contexto de uso variável. Existem vários desses contextos com os quais o plug-in é compatível. Suponha que haja uma variável `$container` com os valores `foo` e `bar` selecionados:
+ Filtro básico para o comando `search`
```
source=docker_stats $container
=>
source=docker_stats (foo OR bar)
```
+ Filtro de valor de campo
```
source=docker_stats container_name=$container
=>
source=docker_stats (container_name=foo OR container_name=bar)
```
+ Filtro de valor de campo com o operador `IN` e a função `in()`
```
source=docker_stats container_name IN ($container)
=>
source=docker_stats container_name IN (foo, bar)
source=docker_stats | where container_name in($container)
=>
source=docker_stats | where container_name in(foo, bar)
```
#### Variáveis de vários valores e aspas
Se a variável estiver entre aspas (duplas ou simples), seus valores também serão citados, como no exemplo a seguir.
```
source=docker_stats container_name="$container"
=>
source=docker_stats (container_name="foo" OR container_name="bar")
source=docker_stats container_name='$container'
=>
source=docker_stats (container_name='foo' OR container_name='bar')
```