Splunk可以摄取不同类型的数据源并构建与关系表相似的表。这些称为表数据集或表。它们提供了简单的方法来分析和过滤数据以及查找等。这些表数据集还用于创建数据透视分析，我们将在本章中学习这些数据。

创建数据集

我们使用一个名为Splunk Datasets附件的Splunk附件来创建和管理数据集。可以从Splunk网站https://splunkbase.splunk.com/app/3245/#/details下载。必须按照此链接的“详细信息”选项卡中给出的说明进行安装。成功安装后，我们将看到一个名为Create New Table Dataset的按钮。

选择数据集

接下来，我们单击Create New Table Dataset按钮，它为我们提供了从以下三个选项中进行选择的选项。

• 索引和源类型-从现有索引或源类型中进行选择，这些索引或源类型已通过“添加数据”应用程序添加到Splunk。

• 现有数据集-您以前可能已经创建了一些要通过从中创建新数据集进行修改的数据集。

• 搜索-编写搜索查询，结果可用于创建新的数据集。

在我们的示例中，我们选择一个索引作为数据集的源，如下图所示：

选择数据集字段

在上面的屏幕中单击“确定”后，将为您提供一个选项，以选择我们想要最终进入表数据集的各个字段。缺省情况下，已选中_time字段，并且不能删除该字段。我们选择以下字段：字节，类别ID，客户IP和文件。

在上面的屏幕中单击完成后，我们将获得包含所有选定字段的最终数据集表，如下所示。在这里，数据集变得类似于关系表。我们使用右上角的另存为选项保存数据集。

创建枢轴

我们使用以上数据集创建数据透视报告。数据透视表报告反映一列的值相对于另一列的值的汇总。换句话说，将一列值制成行，而另一列值制成行。

选择数据集操作

为此，我们首先使用“数据集”选项卡选择数据集，然后从该数据集的“操作”列中选择“使用枢轴可视化”选项。

选择枢轴字段

接下来，我们选择适当的字段来创建数据透视表。我们在“拆分列”选项中选择类别ID，因为这是其值应在报告中显示为不同列的字段。然后，在“拆分行”选项中选择“文件”，因为这是其值应按行显示的字段。结果显示文件字段中每个值的每个categoryid值的计数。

接下来，我们可以将数据透视表另存为报表或现有仪表板中的面板，以备将来参考。