実施環境: Splunk Cloud 8.2.2104.1
0. 概要
Splunk で使用できるグラフについて、今回は単一値グラフを紹介します。
本記事では便宜上グラフと呼んでいますが、単一値グラフはグラフというよりはシンプルに1つの値を大きく表示しただけのものです。
直近のエラー件数など、1つの値のみを見たい場合に有用です。
1. SPL 文の組み方
今回、例とする SPL 文には以下を使用します。
index="_internal" sourcetype="splunkd" source="*/splunkd.log" log_level="ERROR"
| stats count
表としてはヘッダと値の2行1列で、下の行の値が大きく表示されます。
| - |
|---|
| 値 |
表示する値は数値の場合が多いですが、後述の「 Single Value 」のみ文字列も指定できます。
index="_internal" sourcetype="splunkd" source="*/metrics.log" group="per_index_thruput"
| stats sum(kb) BY series
| sort - sum(kb)
| head 1
| fields series
2. 使用方法
単一値グラフは、 Splunk 視覚エフェクトの「 Single Value 」「 Radial Gauge 」「 Filter Gauge 」「 Marker Gauge 」のいずれかを選択することで使用できます。
「 Single Value 」は値を大きい文字で表示するだけですが、「 Radial Gauge 」「 Filter Gauge 」「 Marker Gauge 」はそれぞれメーター、メスシリンダー、温度計の形で値を表示します。
3. 値のレベル付け
「 Single Value 」「 Radial Gauge 」「 Filter Gauge 」「 Marker Gauge 」のいずれかを使用した際のフォーマットの色タブで「色を使用」を「はい」にすることで、値のレベル付けが可能です。
この設定を変更することで、例えば値が30以下なら青色で表示、30から60なら黄色で表示、60以上なら赤色で表示、のように値の大きさによって色を変えることが可能です。
これを設定すれば、値が一定のレベルを超えたかどうかがとてもわかりやすくなります。
4. グラフのスタイル
「 Single Value 」「 Radial Gauge 」「 Filter Gauge 」「 Marker Gauge 」の各グラフは、それぞれ2種類の表示形式を持ち、フォーマットで切り替えることが可能です。
「 Single Value 」の場合はフォーマットの色タブの、「色モード」という設定項目で切り替えられます。
「無背景」を指定した場合は、背景は白一色(ダークモードの場合は黒一色)で、文字にフォーマットで指定した色がつきます。
「ブロック背景」を指定した場合は、背景にフォーマットで指定した色がつき、文字は白(ダークモードの場合も白)で表示されます。
色を使用したい場合は、無背景よりもブロック背景の方が色がつく範囲が広くわかりやすいかと思います。
「 Radial Gauge 」「 Filter Gauge 」「 Marker Gauge 」の場合はフォーマットの全般タブの、「スタイル」という設定項目で切り替えられます。
デフォルトでは「補完」が指定されています。
設定を「最低限」に変更すると、以下のように装飾が削られ、見た目が簡素になります。
基本は「補完」のままでよいと思いますが、性能が気になる場合や「補完」のときの見た目が気に入らない場合は「最低限」を使用してもよいかもしれません。
以上、単一値グラフの基本的な使い方について紹介しました。
これで代表的なグラフについては一通り紹介しましたが、これらのグラフはサーチ単体で使用することより、ダッシュボードのパーツとして使用することの方が多いです。
そこで次回以降は、 Splunk のダッシュボードについて紹介します。