[ Splunk Dashboard : 튜닝 ] 검색 결과 없을 때도 대시보드에 오류 안 생기게 하는 꿀 팁

 

 

고객사에 나가서 프로젝트를 하다보면 대시보드에 

 

이렇게 한국어로는 '결과를 찾을 수 없습니다.' 영어로는 'No results found'라는 문구가 뜰 때가 있다.

 

검색 쿼리 조건으로 해당하는 이벤트가 생성되지 않아서 이런 결과가 나오는 것이다.

 

만약 이런 화면을 보고 싶지 않다면 이벤트가 검색되지 않아도 뭔가의 데이터가 생성되어서

화면으로 나타낼 수 있어야한다.

 

각 패널이 사용하는 시각화 툴 따라 방법이 좀 달라진다.

 

 

첫번째: single value를 사용할 때

일단 single value 시각화란 검색 결과가 수치로 나올 때 그 수치를 보여주는 용도로 사용한다.

| appendpipe [ |stats count | where count=0 ]

 

가정한 문제가 발생했을 때 위와 같은 쿼리를 쿼리 맨 아랫줄에 추가해주면 

 

위와 같이 화면이 뜨게되면서 해결할 수 있다.

 

 

 

두번째: timechart를 사용할 때

타임 차트 데이터는 날짜 데이터와 수치 데이터가 함께 있어야 하기 때문에 

| appendpipe [ | makeresults | bin span=1h _time | timechart count | where count=0 ]

 

가정한 문제가 발생했을 때 위와 같은 쿼리를 쿼리 맨 아랫줄에 추가해주면 

데이터가 없어도 타임차트가 화면에 뜨게 된다.

 

세번째: table를 사용할 때

테이블에 나타낼 때 "검색된 이벤트가 없습니다."라는 메시지를 표에 나타내고 싶다면

| appendpipe [ | stats count | where count=0 | eval count="검색된 이벤트가 없습니다."]

 

위와 같은 쿼리를 쿼리 맨 아랫줄에 추가해주면 됨