08 · Galería
Capturas del Proceso Completo
Documentación visual de cada etapa del tutorial organizada por partes. Haz clic en cualquier imagen para verla en tamaño completo. Usa las flechas o las teclas ← → para navegar.
Parte 1 — Registro e Instalación
1.1
Se accedió al portal de Splunk.com para crear una cuenta gratuita de prueba. Se completó el formulario con el correo institucional [email protected] y datos personales requeridos.
1.2
Tras el registro, Splunk envió un correo de verificación al email institucional. Se muestra la confirmación "Se le ha enviado un correo electrónico de verificación" y las instrucciones para completar la activación.
1.3
Se descargaron los dos archivos necesarios desde la documentación oficial de Splunk: tutorialdata.zip y Prices.csv.zip. Ambos se guardaron en la carpeta del proyecto sin descomprimir, tal como indica el tutorial.
1.4
Instalación de Splunk Enterprise desde el AUR con el comando yay -S splunk en la terminal Kitty con Zsh. Se aprecia el proceso de compilación del paquete splunk-3:10.2.1.0-2 descargando 1.62 GB a ~3.09 MB/s.
1.5
Primer arranque del daemon de Splunk. Se observa la creación de directorios en /opt/splunk/, la generación de certificados SSL autofirmados con CN=Steven-Notebook y la confirmación de que el servidor web quedó disponible en http://Steven-Notebook:8000.
1.6
Pantalla de inicio de sesión de Splunk Enterprise en localhost:8000. Al fondo se pueden ver los logs del dataset indexándose en tiempo real. Se inició sesión con el usuario admin y la contraseña configurada durante la instalación.
1.7
Home de Splunk Enterprise 10.2.1 tras el primer inicio de sesión exitoso como Steven Admin. Se muestran las aplicaciones disponibles: Search & Reporting, Audit Trail, Data Management, Splunk Secure Gateway y Upgrade Readiness App.
Parte 2 — Carga de Datos
2.1
Proceso de carga del tutorialdata.zip mediante el asistente Add Data de Splunk. Se muestra la pantalla de revisión con los parámetros configurados: Input Type = Uploaded File, Source Type = Automatic, Index = Default, procesando el archivo.
2.2
Confirmación exitosa de la carga con el mensaje "File has been uploaded successfully". Splunk ofrece las opciones de Start Searching, Add More Data, Download Apps y Build Dashboards, indicando que los 109,864 eventos ya están disponibles para búsqueda.
Parte 3 — Search & Reporting App
3.1
Interfaz principal de la aplicación Search & Reporting de Splunk. Se muestra la barra de búsqueda SPL vacía, el selector de rango de tiempo (All time), el modo Smart Mode activo y el historial de búsquedas SPL. El Search Assistant está disponible en modo Full.
3.2
Primera búsqueda ejecutada con el comodín * para recuperar todos los eventos indexados. El resultado muestra 109,864 eventos en el histograma temporal, con los campos seleccionados host(5), source(8) y sourcetype(3) visibles en el panel izquierdo.
3.3
Búsqueda por la palabra clave "buttercupgames" filtrando eventos que contienen ese término. Se obtienen 9,245 eventos en los últimos 2 días, mostrando logs de acceso a buttercupgames.com con detalles de peticiones HTTP GET/POST.
Parte 4 — Búsquedas con SPL
4.1
Búsqueda con frase exacta entre comillas "categoryid=sports" que retorna 793 eventos. Esta técnica busca la cadena literal en los logs, útil para filtrar por categorías específicas de productos en los registros de acceso web.
4.2
Uso de operadores booleanos y comodines: buttercupgames (error OR fail* OR severe). El asterisco en fail* actúa como comodín capturando failed, failure, etc. Se obtienen 427 eventos con algún tipo de error en los logs.
4.3
Cambio de formato de visualización a vista Table. Se muestran los mismos 427 eventos de errores organizados en columnas con los campos _time, host, source y sourcetype, facilitando la lectura y comparación de los registros.
4.4
Búsqueda por campo con sourcetype=access_* que retorna 39,532 eventos de logs de acceso web. El comodín * incluye tanto access_combined como access_combined_wcookie. Se muestra el histograma temporal del período 9-16 de marzo 2026.
4.5
Selección manual de campos interesantes en el panel izquierdo. Se agregaron action(5), categoryId(8), host(3), productId(16), source(3) y sourcetype(1) como Selected Fields para que aparezcan en cada evento de la lista de resultados.
4.6
Exploración del campo "action" al hacer clic en él. Splunk muestra estadísticas: 5 valores únicos en el 49.88% de los eventos. Los valores son addtocart (29.13%), purchase (29.09%), view (27.34%), remove (7.33%) y changequantity (7.11%).
4.7
Filtrado por campos múltiples: sourcetype=access_* status=200 action=purchase. Esta búsqueda devuelve 5,224 eventos correspondientes a compras exitosas con código HTTP 200, mostrando transacciones completadas en los servidores www1, www2 y www3.
4.8
Uso del operador != para obtener compras fallidas: sourcetype=access_* status!=200 action=purchase. Se obtienen 513 intentos de compra que no completaron con HTTP 200, distribuidos en el período de análisis con un pico identificable en la semana del 9 al 15 de marzo.
4.9
Exploración del campo "source" mostrando las 7 fuentes de datos del dataset con su distribución: www1/secure.log (24.4%), www3/secure.log (22.9%), mailsv/secure.log (22.6%), www2/secure.log (22.3%) y los tres access.log con ~2.6% cada uno.
4.10
Search Assistant en modo Full activo mientras se escribe la letra "s". El asistente muestra búsquedas previas del historial (Matching Searches), términos frecuentes (Matching Terms como safari, sales, sat) y la guía "How To Search" con ejemplos de sintaxis SPL.
4.11
El Search Assistant sugiere el comando top al escribir el pipe | en la búsqueda. Se muestra la documentación inline del comando: "Displays the most common values of a field" con ejemplos como | top limit=20 url y | top user by host.
4.12
Ejecución del comando top categoryId sobre compras exitosas. La tabla de estadísticas muestra las 7 categorías ordenadas por frecuencia: STRATEGY lidera con 806 compras (30.5%), seguida de ARCADE (493), TEE (367), ACCESSORIES (348), SIMULATION (246), SHOOTER (245) y SPORTS (138).
4.13
Vista de la misma búsqueda con los porcentajes exactos de cada categoría. Se confirma que STRATEGY domina con 30.49% del total de compras, lo que indica que los juegos de estrategia son los más populares entre los clientes de Buttercup Games.
4.14
Cambio a la pestaña Visualization para ver el Pie Chart recomendado por Splunk. Se muestra el gráfico de pastel con las 7 categorías coloreadas, donde STRATEGY (morado) ocupa claramente el sector más grande seguido de ARCADE (rosado).
4.15
Vista del Pie Chart completo con las etiquetas de cada categoría visibles. El panel izquierdo muestra el selector de tipos de visualización disponibles en Splunk: Column, Bar, Line, Area, Pie, Scatter y más opciones avanzadas.
4.16
Uso de top limit=1 clientip para identificar al cliente con mayor número de compras exitosas. El resultado muestra que la IP 87.194.216.51 es la más frecuente con 134 transacciones completadas, representando el 2.57% del total de compras.
4.17
Construcción de la sub-búsqueda anidada. La búsqueda interna [search ... | top limit=1 clientip | table clientip] identifica dinámicamente la IP del cliente VIP, que luego se usa para filtrar todos sus eventos y calcular estadísticas con stats count y distinct_count.
4.18
Sub-búsqueda completa con el comando rename para etiquetar las columnas. Se añaden los alias "Total Purchased", "Total Products" y "Product IDs" y se renombra clientip como "VIP Customer", dando formato profesional a la tabla de resultados.
4.19
Resultado final de la sub-búsqueda: tabla con el cliente VIP identificado como 87.194.216.51, con 134 compras totales, 14 productos distintos adquiridos y la lista de Product IDs como BS-AG-G09, CU-PG-G06, DB-SG-G01 y más.
Parte 5 — Lookups y Enriquecimiento
5.1
Sección Lookup table files en Settings. Se muestra el mensaje "Successfully saved prices.csv in search" confirmando que el archivo de precios fue subido correctamente. El archivo aparece listado bajo el usuario steven-admin con visibilidad Private inicial.
5.2
Se cambió la visibilidad del archivo prices.csv de Private a Global haciendo clic en el botón de permisos. Esto permite que el archivo de lookup sea accesible desde cualquier búsqueda y usuario en la instancia de Splunk.
5.3
Sección Lookup definitions mostrando la definición prices_lookup recién creada. Se puede ver la configuración: tipo file, campos soportados productId/product_name/price/sale_price/Code, archivo prices.csv, owner steven-admin, compartida como Private inicialmente.
5.4
Vista de la definición prices_lookup con visibilidad Private. Se observa que está resaltada en la lista de 34 definiciones disponibles. El estado Private significa que solo el usuario steven-admin puede usarla en sus búsquedas por el momento.
5.5
La definición prices_lookup fue cambiada exitosamente a visibilidad Global. Ahora cualquier usuario de la instancia puede usar este lookup en sus búsquedas SPL, lo que es necesario para que el autolookup funcione correctamente para todos los usuarios.
5.6
Formulario de creación del Automatic Lookup "autolookup_prices". Se configuró: Destination app = search, Lookup table = prices_lookup, Apply to sourcetype access_combined_wcookie, Input field productId = productId, Output fields product_name = productName y price = price.
5.7
El autolookup fue creado exitosamente. Se muestra en la lista de Automatic Lookups con el mensaje "Successfully saved autolookup_prices in search". La definición completa: access_combined_wcookie : LOOKUP-autolookup_prices con visibilidad Private inicial.
5.8
El autolookup_prices fue cambiado a visibilidad Global. Ahora Splunk aplicará automáticamente el lookup de precios a todos los eventos de tipo access_combined_wcookie en cualquier búsqueda, sin necesidad de invocarlo manualmente con el comando lookup.
5.9
Verificación del lookup activo. Los eventos de sourcetype=access_* ahora muestran los campos enriquecidos: price = 24.99 y productName = Benign Space Debris. También se observan los nuevos campos en Selected Fields: price(9) y productName(16).
5.10
Tabla del catálogo de productos generada usando stats values(price) by productName. Se muestran los 16 productos de Buttercup Games con sus precios correspondientes del CSV, confirmando que el lookup está funcionando correctamente al enriquecer los eventos.
5.11
Lista completa de los juegos y accesorios de Buttercup Games con sus precios extraídos del lookup: desde Fire Resistance Suit of Provolone ($3.99) hasta Pony Run ($49.99), pasando por títulos como Dream Crusher ($39.99) y World of Cheese ($24.99).
Parte 6 — Reportes y Gráficas
6.1.1
Tabla estadística del cliente VIP generada con la sub-búsqueda. Muestra la IP 87.194.216.51 con 134 compras totales, 14 productos distintos y la lista de Product IDs. Los nombres de productos ya aparecen gracias al autolookup activo.
6.1.2
Tabla VIP Customer completa con la versión final de la query que usa values(productName) en lugar de values(productId). Ahora la columna "Product Names" muestra los nombres reales como Benign Space Debris, Curling 2014, Dream Crusher, etc., gracias al lookup.
6.1.3
Formulario Save As Report para guardar la búsqueda como reporte reutilizable. Se definió el título "VIP Customer", descripción "Buttercup Games most frequent shopper", Content = Statistics Table y se activó el Time Range Picker para que el reporte pueda filtrarse por tiempo.
6.1.5
Sección Reports mostrando los 9 reportes disponibles en la app. El reporte "VIP Customer" aparece al final de la lista con owner steven-admin, compartido como App y estado Enabled, junto a reportes del sistema como "Errors in the last 24 hours".
6.2.1
Búsqueda con stats para calcular views, addtocart y purchases por producto usando count y eval. La tabla Statistics muestra los 14 productos con sus métricas absolutas y los porcentajes de conversión viewsToPurchases y cartToPurchases calculados.
6.2.2
Column Chart generado automáticamente por Splunk mostrando tres barras por producto: Views (morado, hasta ~2,000), Adds to Cart (rosado, ~400) y Purchases (verde, ~200). Se puede observar que Dream Crusher y Mediocre Kingdoms tienen los mayores volúmenes.
6.3.1
Query avanzada que combina stats con eval para calcular las tasas de conversión viewsToPurchases=(purchases/views)*100 y cartToPurchases=(purchases/addtocart)*100. La tabla muestra valores como 10.37% views-to-purchase y 49.63% cart-to-purchase para Benign Space Debris.
6.3.2
Overlay chart configurado como Column Chart con líneas superpuestas. Las barras muestran Views, Adds to Cart y Purchases en el eje izquierdo (Actions, hasta 2,500), mientras las líneas naranja y amarilla muestran las tasas de conversión en el eje derecho (Conversion Rates, hasta 100%).
6.3.3
Reporte "Comparison of Actions and Conversion Rates by Product" guardado y visualizado. La descripción indica "The number of times a product is viewed, added to cart, and purchased and the rates of purchases from these actions". Muestra 34,282 eventos procesados.
6.4.1
Búsqueda con timechart count(eval(action="purchase")) by productName usenull=f useother=f. La tabla Statistics muestra 8 filas con fechas del 2026-03-09 al 2026-03-16 y columnas por producto como Dream Crusher, Final Sequel, Fire Resistance Suit, etc.
6.4.2
Reporte "Product Purchases over Time" guardado como gráfica de líneas temporales. Muestra la evolución de compras por producto del 9 al 16 de marzo 2026, con todas las líneas entrelazadas entre 10 y 50 compras diarias por producto.
6.5.1
Búsqueda con el comando chart sparkline(count) AS "Purchases Trend" count AS Total BY categoryId. La tabla muestra las 7 categorías con una minigráfica de tendencia (sparkline) en verde en cada fila y el total acumulado de compras en la columna derecha.
6.5.2
Reporte "Purchasing Trends" guardado con descripción "Count of purchases with trends". Muestra las 7 categorías con sus sparklines y totales: STRATEGY (806), ARCADE (493), TEE (367), ACCESSORIES (348), SIMULATION (246), SHOOTER (245) y SPORTS (138).
Parte 7 — Dashboard Final
7.1
Búsqueda top categoryId con rango de tiempo "Previous week" (3/8/26 al 3/15/26) mostrando 3,875 eventos. STRATEGY sigue liderando con 590 compras (30.1%), confirmando la consistencia del patrón de compras semana a semana.
7.2
Pie Chart de las categorías creado como primer panel del dashboard. Se muestra en la vista del dashboard "Buttercup Games - Purchases" con el título "Top Purchases by Category" y las 7 categorías coloreadas, listo para ser usado como panel.
7.3
Sección Dashboards mostrando el dashboard "Buttercup Games - Purchases" recién creado con descripción "Reports on Buttercup Games purchases data". Aparece como tipo Classic, owner steven-admin, compartido como Private y con última modificación el 18 de marzo de 2026.
7.4
Modo de edición del dashboard con el editor clásico (UI). Se observa el panel "Top Purchases by Category" con el Pie Chart del primer reporte. El Dark Theme está activado. Se usa "Add Panel" para agregar más visualizaciones al dashboard.
7.5
Se añadió el control Time range input al dashboard. El formulario muestra la configuración: Label = Time range, Token = BG_Purchases_Time_Range, Default = Previous week. Este control permite filtrar todos los paneles simultáneamente desde una sola selección.
7.6
Dashboard con el Pie Chart del panel Top Purchases by Category visible y el selector de Time range (Previous week) en la parte superior. Se procede a agregar los tres paneles restantes: VIP Client Purchases, Purchasing Trends y Comparison of Actions.
7.7
Vista del dashboard con los cuatro paneles organizados: Top Purchases by Category (Pie Chart) y VIP Client Purchases (tabla con 14 productos) en la fila superior, y Purchasing Trends (sparklines) y Comparison of Actions (column chart + líneas) en la fila inferior.
7.8
Se ejecutó la sub-búsqueda VIP Customer dentro del contexto del dashboard para verificar que funciona correctamente con el token de tiempo. Muestra la IP 87.194.216.51 con 134 compras, 14 productos y la lista completa de Product Names del lookup activo.
7.9
Dashboard final "Buttercup Games - Purchases" con todos los paneles integrados y el filtro de tiempo activo en Previous week. Se puede observar cómo el Pie Chart cambia su distribución respecto al total acumulado, mostrando STRATEGY como categoría dominante también en la semana.
✦ Resultado Final
7.10
Dashboard "Buttercup Games - Purchases" completamente finalizado. Vista completa con los 4 paneles operativos: Top Purchases by Category (Pie Chart), VIP Client Purchases (tabla con 14 productos del lookup), Purchasing Trends (sparklines por categoría) y Comparison of Actions and Conversion Rates (overlay chart). El filtro de tiempo "Previous week" está activo controlando todos los paneles simultáneamente.