博客/工程

Grafana的Splunk插件现在支持直接从日志跳转到跟踪的数据链接

莱恩
2021年2月8日6分钟

这篇文章已经更新,以反映Splunk数据源插件对Grafana Cloud用户的可用性的变化。

嘿!我是Éamon Ryan,来自解决方案工程团队。bob彩票中奖计划从2021年开始,Splunk数据源插件,适用于拥有Grafana云户口或与Grafana企业许可证,有一个新版本:v2.1.0。虽然它为边缘情况添加了一些很好的错误修复,但我认为最大的变化是增加了对数据链接的支持!

数据链接在里面的几个地方出现过Grafana.它们允许您将数据从某个点链接到另一个点,无论是在Grafana内部还是外部,比如在一个新选项卡中。最近的一个例子是范例支持,在Grafana 7.4添加到Grafana Cloud

它们可以与时间序列面板属性面板仪表板,或棒规面板例如。或者,一些数据源包含对它们的支持,例如Elasticsearch而且Grafana洛基数据源插件。(洛基称他们为“导出字段,因为首先会出现一个解析元素。)

假设您想要单击图形线或条,或者想要将一些日志字段发送到其他工具。这正是您可以使用数据链接的目的!

该特性最强大的用途之一是支持在Grafana中从日志跳转到跟踪,而不会丢失任何上下文。您可能已经意识到,从Grafana 7.0开始,您已经能够添加Zipkin或Jaeger跟踪后端作为数据源。Grafana 7.3增加了对Grafana节奏跟踪后端数据源,为您提供三种可能的跟踪解决方案,跳转到Grafana中可视化!bob彩票中奖计划

如何开始

所以,如果我有一个这样的跟踪系统,我如何从我的Splunk日志跳转到跟踪?

假设你有:

  • 配置了Spunk插件版本>= 2.1.0的Grafana Enterprise
    (如果你没有Grafana Enterprise许可证,你也可以通过Grafana Cloud访问Splunk插件。现在就报名!)
  • 配置的跟踪后端数据源:Tempo、Jaeger或Zipkin
  • 您的应用程序代码被检测为日志跟踪id

然后,对Splunk的数据源配置进行相当简单的修改就可以实现这一点!

首先,验证跟踪id是否出现在日志中。这里我只是做了一个简单的探索:

在Grafana Explore中验证跟踪id。
在Grafana Explore中验证跟踪id。

正如您可以在底部的完整日志行中看到的那样,我实际上让这个应用程序为所有三个可能的后端(Grafana Tempo、Jaeger和Zipkin)输出跟踪id,格式为tempo_trace_idjaeger_trace_id,zipkin_trace_id,分别。

如果我展开日志行,我可以检查出所有的字段,并看到位于消息字段:

跟踪id与Splunk企业插件。
跟踪id与Splunk企业插件。

好的,我有跟踪id;现在让他们做点什么!

在我的Splunk数据源的配置中,底部有一个新部分:

数据源配置与Splunk企业插件。
数据源配置与Splunk企业插件。

点击添加显示要填写的字段:

使用Splunk企业插件添加数据链接。
使用Splunk企业插件添加数据链接。

我将添加三个链接,以显示所有三个跟踪后端都在工作。它们大多使用相同的正则表达式,例如,/ tempo_trace_id [^ 0-9a-z) * (\ [0-9a-z] +) /

快速点击保存和测试让我知道我没有犯任何明显的错误,我准备好回到探索页面:

有什么不同吗?注意我现在有三个新的解析字段在最上面,每一个都对应着我的一个数据链接。这本身就足够整洁了,因为我根本不需要修改我在Splunk方面的配置来拉出这些!

但是,这里的蓝色标签才是真正的魔力:单击其中任何一个标签都将把Explore窗格分成两个,并显示出有问题的确切跟踪!

节奏:

数据链接与Splunk企业插件和Tempo。
数据链接与Splunk企业插件和Tempo。

Jaeger:

数据链接与Splunk企业插件和积家。
数据链接与Splunk企业插件和积家。

Zipkin:

数据链接与Splunk企业插件和Zipkin。
数据链接与Splunk企业插件和Zipkin。

这有什么帮助呢?

这实际上是一个两部分的答案。

第一个帮助方法是Grafana的大目标和优势之一:使您的数据民主化,使您更容易在一个地方看到所有内容。通过不需要单独跳转到跟踪后端并重新建立上下文以缩小相关跟踪范围,您可以更快地调查、观察和解决问题。

这种帮助的第二种方式是与Grafana Tempo,特别是如果你选择使用它。有一个关于Grafana Tempo的精彩博文已经出现了解释什么是Tempo网络研讨会按需提供,但在这篇博客文章的背景下,我只给出几个要点:

  • 现有的跟踪解决方案必须存储跟踪的大bob彩票中奖计划型索引(通过Cassandra或Elasticsearch等工具),以使其可搜索。
  • 大型索引的成本很高,因此存储所有跟踪样本的成本可能过高。
  • Tempo不索引跟踪;它本质上是一个按id跟踪的存储机器。
  • 因此,Tempo可以以其他跟踪后端的一小部分成本运行,同时还能够存储100%的跟踪。

因此,通过使用Tempo作为后端,您可以以一种经济有效的方式存储100%的跟踪,同时仍然能够维护您的Jaeger/Zipkin/OpenTelemetry应用程序仪器,只需修改发送跟踪的位置。唯一的代价是您必须知道跟踪的确切ID才能找到它们。数据链接让你能够在Grafana中完成谜题并无缝地处理这种权衡。

这已经可以通过Grafana Loki和Elasticsearch实现,但现在随着Splunk插件的2.1.0版本,它的功能也扩展到了Splunk !如果你以前是一个“Tempo看起来很棒,但我不能直接从Splunk跳转到trace,所以我不能使用它”的人,好吧,不用再烦恼了!

了解更多

对Splunk插件的改进为跟踪故事做了一个很好的补充,如果你还没有听说过,它最近在度量中增加了一些->跟踪等式的一边,以支持Prometheus范例的形式Grafana 7.4而在Grafana云

要了解更多信息或开始使用Splunk数据源插件,请阅读Splunk解bob彩票中奖计划决方案页面联系我们的团队

如果你还没有使用Grafana Cloud -最简单的方法开始观察-现在就注册,免费试用Grafana Cloud Pro 14天,具有无限的度量、日志、跟踪和用户、长期留存和访问一个企业插件。

本页:

bob体育手机二维码计划:

10,000个系列指标10,000个系列指标

14天保留14天保留

50gb的日志和跟踪50gb的日志和跟踪

3名团队成员3名团队成员

创建免费账号→

下一个