最近发布的Grafana 8.5标志着开始实现从追踪直接到Splunk日志的跳跃。这是一个很大的飞跃,现在你可以在你的痕迹--无论它们来自Tempo、Zipkin还是Jaeger--与更多的第三方日志数据之间画一条直线,所有这些都可以在你的痕迹视图中舒适地看到。以前,Grafana追踪到日志的功能只包括Loki日志。但随着这项新功能的引入,Splunk日志所提供的深度洞察力现在只需点击一下即可。
为什么要从痕迹链接到Splunk日志?
追踪告诉你发生了什么,或者更具体地说,你的请求路径的哪一部分导致了错误。但是,如果你还能将这些点进一步联系起来,了解它发生的原因,那会怎么样呢?这个功能可以帮助你做到这一点,告诉你事件发生的原因和时间。因此,结合起来,对日志的追踪真的很强大。
Grafana简单而有力地处理了筛选巨大的日志数据的任务,它允许你按跟踪ID和/或跨度ID来过滤日志,此外还可以按日志中可能包含的任何其他标签和元数据来过滤。
这是我们的客户强烈要求的一个功能,他们的数据深深地嵌入了Splunk;现在这些用户可以增加他们在Grafana中工作的一体式方法。
有关Splunk企业插件的更多信息,可供拥有Grafana云账户或Grafana企业许可证的客户使用,请查看Splunk解决方案页面或联系我们的团队。
与Loki的追踪到日志功能一样,如果在你的数据源中启用了Splunk的追踪到日志功能(见下面的开始),我们将自动生成一个查询链接,当从追踪视图中点击时,在Grafana中打开一个Splunk标签。
这个查询偏移了1000毫秒(或1秒),这是Splunk在Grafana中创建有效查询的要求。这使我们能够更快地返回结果,但这也意味着你可能需要将用户界面中的时间范围调整到更长的时间间隔,以看到相关的结果(更多细节见下面的说明)。
就像Loki日志一样,这种追踪到Splunk日志的功能反映在URL中,允许保存和分享查询的能力。
开始吧
如果你已经安装了其中一个追踪系统,并且配置了你的Splunk数据源,你所要做的就是以下几点:
- 进入配置,选择你的追踪数据源:
- 从你的追踪设置页面,找到追踪到日志部分。从数据源下拉菜单中,选择你配置的Splunk数据源。添加您的数据中包含的任何标签(例如,
job,如图所示),如果需要的话,切换按跟踪ID和/或跨度ID过滤的功能,并改变您想在这里的任何其他设置。然后点击保存和测试:
- 然后,从 "探索 "中,选择服务名称,然后运行查询以查看跟踪视图:
- 从你的跟踪视图中点击日志链接图标:
- 如果你有任何你想搜索的元数据,包含在
_raw列的元数据(例如:color=white),你可以在查询搜索部分直接查询这些键值对,或者直接搜索数据中的特定字符串。请务必调整时间范围,以获得你想要的数据:
- 根据你在Splunk中设置的选择字段,它们会在Grafana的跟踪到日志视图中显示为检测字段;你可以直接按键和/或按值查询。默认字段
host,source, 和sourceType出现在每个日志事件中:
追踪到日志的快乐
