実施環境: Splunk Cloud 8.2.2104.1
0. 概要
前回紹介した通り、 Splunk ダッシュボードでは画面上で検索条件の変更ができるように入力パーツがいくつか提供されており、デフォルトでは8つの種類が使用できます。
今回はそれらの入力パーツについて、簡単に紹介していきます。
1. 単一値の入力パーツ
単一の値を取得する入力パーツには、以下の4つの入力があります。
もっとも、リンクリストはラジオボタンと見た目が違うだけでほぼ同じですので、使うことはあまりないかと思います。
-
テキスト:自由に値を入力できる。選択肢が頻繁に追加、削除される場合に有用。
-
ラジオボタン:選択肢から1つを選択できる。選択肢が少ない場合に有用。
-
ドロップダウン:選択肢から1つを選択できる。選択肢が多い場合に有用。
-
リンクリスト:選択肢から1つを選択できる。選択肢が少ない場合に有用。
単一値を取得する入力パーツは、以下のように設定します。
まず、トークンに使用する文字列を決めます。
今回は、「 level 」としましょう。
テキスト以外の入力の場合は、「静的オプション」に選択肢を指定します。
このとき、「名前」に指定した値はダッシュボード画面に表示される値、「値」に指定した値は処理で実際に使用される値となります。
入力側の設定はこれで完了です。
あとは、パネル側の SPL において、入力した値と置き換えたい箇所に以下のようにドルマーク($)で囲ったトークン文字列を書き込みます。
index="_internal" sourcetype="splunkd" source="*/splunkd.log" log_level="$level$"
| table _time, event_message
これでパネル側の設定も OK です。
入力に値を入れることで、 SPL 中のトークン箇所がその値と置き換えられます。
1.1. テキスト
文字列を自由に入れることができる入力です。
選択肢を作成する必要がないことから他の入力に比べて手軽に使用できますが、反面入力の自由度が高いため、使用する値を正確に把握していないと欲しい結果を得ることができません。
使用する値が以下のような場合に有効です。
-
値が多い場合
-
値が頻繁に追加、削除される場合
-
資料など Splunk の外部で値が確認可能である場合
(例) アカウント ID 、 URL ドメイン
1.2. ラジオボタン
箇条書き形式で選択肢が縦に表示される入力です。
常に全ての選択肢が画面に表示されているため、どのような値が選択できるのかパッと見でわかりやすいですが、あまり大量の選択肢があると非常に見づらいため、選択肢の個数は5個程度が限界かと思います。
使用する値が以下のような場合に有効です。
-
値が少ない場合
-
値がほとんど追加、削除されない場合
(例) 正常/異常、大正/昭和/平成/令和
1.3. ドロップダウン
ドロップダウンリスト形式で選択肢が表示されたり隠れたりする入力です。
選択時以外は選択肢が画面に表示されないため、選択肢の個数が多くても見やすい画面を実現できます。
選択肢が9個以上だと選択肢の上に検索フォームが追加されるため、選択肢の個数が非常に多い場合も簡単に値を選択できます。
使用する値が以下のような場合に有効です。
-
値が多い場合
-
値がほとんど追加、削除されない場合
(例) ホスト名、国名
1.4. リンクリスト
ボックス形式で選択肢が横に表示される入力です。
見た目以外はほとんどラジオボタンと同じです。
ぱっと見でどう操作するかわかりにくいため、正直あまり使うことはないかと思います。
2. 複数値の入力パーツ
複数の値を取得する入力パーツには、以下の2つの入力があります。
-
チェックボックス:ラジオボタンの複数版。選択肢が少ない場合に有用。
-
複数選択:ドロップダウンの複数版。選択肢が多い場合に有用。
複数値を取得する入力パーツは、以下のように設定します。
まず、トークンに使用する文字列を決めます。
先ほどと同様、「 level 」としましょう。
次に、「静的オプション」に選択肢を指定します。
単一値の場合はこれで終わりですが、複数値の場合はもう一手間必要です。
このままですと、例えば「 INFO 」と「 WARN 」を選択した場合、トークンが置き換えられる文字列が
INFOWARN
となり、 SPL の該当箇所が
log_level="INFOWARN"
といった形になります。
これは明らかに欲しいものと異なります。
本来であれば、以下のようになってほしいわけです。
log_level="INFO" OR log_level="WARN"
そこで、「トークンオプション」のプレフィックス、サフィックス、区切り文字を以下のように入力し、プレビューが上記の形になるようにします。
OR の前後には空白が入るようにしてください。
| 項目 | 値 |
|---|---|
| トークンプレフィックス | |
| トークンサフィックス | |
| トークン値プレフィックス | log_level=" |
| トークン値サフィックス | " |
| 区切り文字 | OR |
プレビューが想定通りとなれば OK です。
なお、上記の項目毎の配置箇所は以下の通りです。
(トークンプレフィックス)(トークン値プレフィックス)(選択した値1)(トークン値サフィックス)(区切り文字)(トークン値プレフィックス)(選択した値2)(トークン値サフィックス)(トークンサフィックス)
あとは、パネル側の SPL においてトークン文字列を書き込みます。
単一値の時とは置き換え箇所が異なることに注意してください。
index="_internal" sourcetype="splunkd" source="*/splunkd.log" $level$
| table _time, event_message
これでパネル側の設定も完了となります。
2.1. チェックボックス
ラジオボタンの複数版です。
選択肢が少ない場合に向いています。
2.2. 複数選択
ドロップダウンの複数版です。
選択肢が多い場合に向いています。
ただしドロップダウンと異なり選択肢が非常に多くても検索フォームは表示されません。
またいくら選択肢は隠れるといっても選択している値は画面に表示されるため、あまり極端に選択肢が多いと画面が見づらくなる可能性があります。
3. 特殊な入力パーツ
3.1. 時間
入力パーツの中でも最も頻繁に使用される入力パーツです。
これを使うことで、 SPL 文の検索期間を指定することができます。
設定の方法も他の入力パーツとは少々異なります。
トークン文字列を指定するところまでは他と同じです。
ただ、パネル側でのトークンの指定方法は、 SPL を書き換えることはせず、「時間範囲」を「共有タイムピッカー」に変更することで指定します。
これで、パネルの SPL の検索期間をダッシュボード画面から変更することが可能になります。
3.2. 実行
この入力パーツは、他の入力パーツとは全く異なる入力パーツです。
パネルの検索結果には何の影響も与えず、また設定なども存在しません。
この入力パーツを追加すると「実行」と書かれたボタンがダッシュボードに追加され、追加されたボタンを押すとパネルの SPL 文が即座に実行、更新されます。
複数の検索条件を指定してから検索を実行したい際など、パネルの SPL 文の自動実行を避けたい場合に有用です。
以上、様々な入力パーツについて紹介しました。
これで Splunk 入門の記事は全てです。