Splunkで作ったチャートをクリックすると、デフォルトでは検索画面にドリルダウンできます。ドリルダウンの遷移先のURLを設定すれば、検索画面ではなく別のダッシュボードを表示できます。URLのクエリ文字列をうまくコントロールすることによって、クリックされたところの情報で遷移先のダッシュボードの検索条件を絞ることができます。
たとえば、下記のようなウェブアクセスログがあるとします。web.csvに保存します。
access_time,user,url
2015/1/15 10:01:02,user0089,http://domain1.co.jp
2015/1/15 11:16:02,user0003,http://domain4.co.jp
2015/1/15 09:21:02,user0142,http://domain7.co.jp
2015/1/15 09:34:02,user0031,http://domain2.co.jp
2015/1/15 12:51:02,user0524,http://domain9.co.jp
Splunkのトップページを開いてデータ追加をクリックします。
データの追加画面でアップロードをクリックします。
ファイル選択画面で、下記の区域にweb.csvをダラッグ&ドロップします。
アップロードが完了したら、下記のような完了画面が表示されます。
画面の上側の「次へ」ボタンをクリックして次に進みます。
拡張子は.csvですからCSVというビルドインのSourcetypeに自動的になって、下記のように各列を識別できたことを確認できます。
検索画面で下記のTimechartコマンドを入力して、1時間単位のユーザ別のアクセス数の棒チャートを描画できます。
index="test" | timechart span=1h count by user
棒チャートのデフォルトはスタックなしですから、スタックに変更する必要があります。
この画面を再利用するために、ダッシュボードとして保存します。まず、画面右上の保存メニューのダッシュボードをクリックします。
表示された保存ダイアログに「access_chart」というID(後程URLの一部となる)を入力します。権限のところ「App内で共有」を選択し、保存ボタンを押します。
なにも設定しなくても、チャートから検索画面までドリルダウンできます。たとえば、3番目の棒をクリックすると、下記のようにuser0003を条件とする検索結果が表示されます。
生ログそのまま表示されるので、見づらいところがあります。下記のようなテーブルで表示したほうが分かりやすいかもしれません。
チャートだけではなくテーブルもダッシュボードとして保存できるので、下記のように「access_url」というIDでこのテーブル画面を保存します。
これで遷移元「access_chart」と遷移先「access_url」のダッシュボートが揃ったので、棒チャートをクリックすると、テーブル画面に移すようにソースを編集します。
まず、ダッシュボードメニューをクリックします。
次は、表示されたダッシュボード一覧から遷移元の「access_chart」をクリックします。
表示された画面の右上の編集メニューから「ソースの編集」をクリックします。
XML編集画面が表示されます。ソースコード後にあるタグの前にのタグを挿入し、画面右下の保存ボタンを押します。
<drilldown>
<link>
/app/search/access_url
</link>
</drilldown>
保存すると、「access_chart」画面が再び表示されます。もう一度三番目の棒をクリックすると、「access_url」が表示されることを確認できます。
しかし、1番目、2番目の棒をクリックしても、同じuser0003のテーブル画面が表示されます。なぜならば、access_urlの検索文にuser0003が固定で書いているからです。ここをクリックされたユーザと連動させる必要があります。
「access_url」画面の右上の編集メニューから「パネルの編集」をクリックします。
表示されたパネル編集画面で「入力の追加」メニューから「テキスト」を選択します。
ダッシュボードの左上にテキストフィルドが新たに追加されます。そこの鉛筆アイコンをクリックしてテキストフィルドを設定できます。
下記のように各項目を設定し、適用ボタンを押して保存します。
トークンは変数です。テキストボックスに入力された値はuserという変数に保存され、\$user\$という形で利用できます。
トークンプリフィックス、トークンサフィックスとデフォルトが組み合わせると、「user="*"」というディフォルトの検索文字となります。
テキストフィルドを設定した後、画面右側の虫眼鏡アイコンをクリックし、「サーチ文字列の編集」を選択します。
表示されたサーチの編集ダイアログで「user=user0003」の部分を削除して、「$user$」に変更し、保存します。
変更前:index="test" user=user0003 | table access_time, url
変更後:index="test" $user$ | table access_time, url
「access_url」編集画面の右上の完了ボタンを押して通常モードに戻します。
遷移元の「access_chart」画面に戻して、編集メニューからソースの編集をクリックします。XML編集画面で、画面下部ののURLの後ろにクリックしたユーザの情報を追加します。
変更前:/app/search/access_url
変更後:/app/search/access_url?form.user=$click.name2$
追加された部分を少し説明する必要があります。
「form.user」とは、遷移先のformにuserというオークンを持つフィルドの値を設定する意味です。
「\$click.name2\$」とは、棒チャートのX軸の値を取得する意味です。
他にも、「\$click.value2\$」=棒の高さ、即ちY軸の値。
「\$click.name\$」=_timeの固定値。
「\$click.value\$」=クリックされた棒の日時。
修正を保存して、棒をクリックすると、「access_url」画面に移し、クリックされたユーザの名前がテキストボックスに表示され、テーブルにそのユーザのアクセスログが表示されることを確認できます。