¿Cómo subir archivos a Splunk?

¿Quieres aprender a subir archivos a Splunk para consultas de información detallada?, pues no busques más aquí traemos la solución a tus dudas.

separador de blog

En un post anterior te explicamos que es y en que se puede utilizar Splunk, sin embargo, aún queda la duda sobre cómo puedes empezar a subir archivos a Splunk para un análisis completo, bien, pues hoy es el día.

Inicialmente consideramos que ya tenemos instalado el software de Splunk, o lo se esta utilizando en la nube, entonces, una vez que accedes a tu sesión obtendrás una vista similar a la imagen 1, en ella deberás dirigirte a la sección llamada Add Data, en ella podrás ver 3 elementos (upload, monitor y forward) los cuales serán de ayuda en posteriores post, el que será de interés en esta ocasión es el de upload.

subir archivos a Splunk vista inicial de splunk
Imagen 1. Vista Inicial Splunk.

Una vez que identificaste la sección de upload, procede a dar click sobre el icono, el cual, redirigirá a una nueva ventana dónde te indica que selecciones el documento a subir para el análisis.

¿Qué formato de archivo acepta Splunk?

*En esta parte hay que abrir un paréntesis ya que es necesario que se conozca qué tipo de formato de archivo acepta Splunk, para ello debemos ir a la documentación oficial y revisar estos elementos*

Resumiendo dicha documentación, indica que para subir archivos a Splunk, este acepta archivos con formato csv o un archivo de datos histórico, sin embargo, en este post se trabajará con el primero, un elemento sumamente importante que por experiencia hemos logrado identificar que, dependiendo de los datos del documento será necesario trabajar con la codificación UTF-8 para normalizar el contenido, así que, si el texto tiene símbolos que la codificación no soporte pues se verá el de forma extraña.

Una vez identificado el formato y la codificación podemos elegir la información que se requiere subir, para este caso en específico reunimos información sobre las tarifas energéticas de la Comisión Federal de Electricidad (CFE), por lo que los datos ya se encuentran acomodados de la siguiente forma (Imagen 2), sin embargo, es posible utilizar cualquier tipo de información, incluso puedes inventarla, el punto es que logres entender el proceso para subir y consultar información.

subir archivos a Splunk datos a usar como ejemplo para splunk
Imagen 2. Datos csv.

¿Cómo guardar el archivo como csv y codificarlo en UTF-8 ?

Posteriormente, debes de guardar dicha información en formato csv y codificado en UTF-8, para esto debes dirigirtr a la opción Archivo -> guardar como de Microsoft Excely selecciona la opción CSV (delimitado por comas) tal y como se muestra en la imagen 3; en caso de que te muestre la opción CSV UTF-8 (delimitado por comas) puedes seleccionarla y omitir el paso siguiente.

guardar los datos en excel con formato csv
Imagen 3. Guardar con extensión csv.

Una vez guardado el documento, procede a abrirlo con notepad, este proceso servirá para darle la codificación UTF-8 que requieres, así que cuando tengas el documento abierto con notepad procede a dar click sobre el menú Códificación->Códificar en UTF-8 (Imagen 4) y guarda.

subir archivos a Splunk codificar el archivo csv a UTF-8
Imagen 4. Codificación UTF-8.

Volviendo a la ventana de Splunk donde te quedaste hace unos momentos, procede subir el archivo previamente tratado, una vez se complete la carga te mostrará el avance del mismo de la siguiente forma (Imagen 5).

subiendo archivo a splunk
Imagen 5. Carga de archivo csv.

Lo siguiente es dar click en el botón next para visualizar los datos del documento, si hiciste todo bien debería de mostrarnos algo similar a la siguiente imagen (Imagen 6).

muestra de datos sin sombolos no soportados por UTF-8
Imagen 6. Datos correctos.

De lo contrario si dejaste signos y símbolos que no soporta UTF-8 nos mostrará los datos de la siguiente manera (Imagen 7).

muestra de campos con simbolos no soportados por UTF-8
Imagen 7. Datos incorrectos

Es necesario corregir esos elementos quitando acentos o tildes que no soporta la codificación usada, de lo contrario al realizar búsquedas, los valores no coincidirán.

Configuración del Timestamp

Continuando con la configuración, notarás que en la barra lateral izquierda hay 3 elementos desplegables (Timestamp, Delimited Settings y Advanced), de los cuales solo enfocate en el primero, en ese campo se puede colocar información de fecha de subida, formato de fecha y que campos queremos que mantengan tal fecha, tal y como muestra la imagen siguiente, podemos hacer uso de los distintas time zone disponibles, en este caso toma como referencia la zona horaria de la Ciudad de México, en seguida, coloca el formato de fecha, revisando la documentación puedes saber cómo acomodarla, por último, el campo al cual no queremos que mantenga la zona horaria, este elemento es importante cuando se requiere conservar la fecha del campo año para verificar los datos respecto a cierto periodo.

subir archivos a Splunk con zona horaria y timesatmp al subir archivos a splunk
Imagen 8. Timestamp.

El siguiente paso es dar click al botón Next el cual te mostrará otra ventana con información sobre el Host y el Index, los cuales de momento no interesan ya que estas aprendiendo a solo subir datos y consultarlos, en futuros posts te explicaremos cómo funciona el Index y como configurarlos para cuando se requieran subir datos de diferentes áreas o campos.

La siguiente imagen muestra la ventana que te aparecerá al dar en Next, en esta ventana no hay que modificar nada.

subir archivos a Splunk con campos de host e index al cargar un archivo en splunk
Imagen 9. Host e Index.

Después, al dirigirte al siguiente paso (Review) mostrará la configuración previamente establecida, lo cual indica que ya puedes finalizar la carga dando click en el botón Submit.

Aparecerá la venta donde indica que el documento ha sido subido de forma adecuada y, una serie de botones donde el que interesa de momento es el que esta de color verde (Imagen 10).

subir archivos a Splunk csv exitosa
Imagen 10. Upload Successfully.

Y de esta forma es como se suben archivos a Splunk.

Finalmente puedes hacer la consulta de datos en splunk, simplemente dando click al botón Start Searching te dirigirá a la ventana de búsqueda con los campos ya incluidos para la misma, incluso puedes ver los resultados de esa búsqueda, así como una barra color verde indicando la cantidad de información obtenida.

Con base en los resultados automáticos que arrojó la búsqueda puedes hacer futuras consultas, solamente hay que identificar ciertos campos, el más importante es el que dice index ya que con ella se inicializan las búsquedas para toda consulta.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *