実施環境: Splunk Cloud 8.2.2104.1
0. 前置き
Splunk のデータはレポートやアラート、データモデル等いくつかの形式で提供が可能ですが、最もよく使用されるのはこれから紹介するダッシュボード形式かと思います。
ダッシュボードはいくつかの表やグラフを1つの画面にまとめたもので、ソースとしては XML ファイルの形をとります。
XML に詳しければ非常に複雑な処理を行うダッシュボードも実現可能ですが、 XML についての知識が全くなくてもダッシュボードは作成できます。
1. ダッシュボード一覧
ダッシュボードについての作業を行うには、まず Search & Reporting で「ダッシュボード」タブを開きます。
すると、現在存在するダッシュボードの一覧が表示されます。
2. ダッシュボードの新規作成
それでは、新しいダッシュボードを作成してみましょう。
右上の「新しいダッシュボードの作成」をクリックします。
以下のように、新しいダッシュボードの設定画面が開きます。
タイトルや ID は自由につけられますが、今回はタイトルは「テスト用」、 ID は「 TEST_DASHBOARD 」を指定しましょう。
ダッシュボードの種類はクラシックで十分です。
スタジオの方が高度な操作が可能ですが、そのレベルが必要なことはそうそうないかと思います。
「作成」を押すと、以下のように空のダッシュボードが出来上がります。
3. パネルの追加
これだけでは何の意味もないので、早速表を1つ追加してみましょう。
上の方にある、「パネルの追加」をクリックします。
クリックすると、以下のように追加するパネルの種類が選択できます。
単純に元ログを並べるだけの「 Events 」(サーチ画面の「イベント」タブに相当)や各種グラフ(サーチ画面の「視覚エフェクト」タブに相当)も使用できますが、今回は表を追加したいので「 Statistics Table 」(サーチ画面の「統計情報」タブに相当)を選択します。
選択すると、以下のように SPL 文の入力画面になります。
今回は以下の SPL 文を入力して、「ダッシュボードに追加」を選択してください。
タイトルは不要です。
index="_internal" sourcetype="splunkd" source="*/splunkd.log" log_level="ERROR"
| table _time, event_message
以下のようにパネルが追加できます。
4. 入力パーツの追加(タイムピッカー)
ひとまずこれで最低限のダッシュボードは作成できましたが、このままですと検索条件を変えたいときに毎回ソースを編集する必要があります。
検索条件を頻繁に変えたい場合は、これは少々面倒です。
そこでソースを編集せずとも検索条件を変更できるように、ダッシュボードには入力用のパーツがいくつか使用できるようになっています。
まずは検索期間をダッシュボード画面から変更できるようにしてみましょう。
上の方にある、「入力の追加」をクリックします。
入力の種類の一覧が出てくるので、「時間」を選択します。
なお、各入力の詳細については別の記事で紹介します。
すると左上にタイムピッカーが追加されます。
ただ、これだけだと上のタイムピッカーの値を変更しても下の検索には何も影響を与えません。
トークンを指定して、入力とパネルを結びつける必要があります。
タイムピッカー右上の鉛筆マークをクリックしてください。
クリックすると、以下のような編集項目が表示されます。
ここで重要なのは、「トークン」という項目です。
トークンは、入力で選択した値をパネルで使用する際のキーとなる文字列です。
今回は、トークンとして「time」という文字列を指定して、適用ボタンを押します。
次に、パネル右上の虫眼鏡マークをクリックしてください。
次のような編集項目が表示されますので、時間範囲を「共有タイムピッカー(time)」に変更して「適用」ボタンを押します。
これで、入力とパネルが紐付きました。
試しにタイムピッカーの日時を変更してみてください。
それに合わせて検索期間が変わるはずです。
5. 入力パーツの追加(テキスト)
お次は、 SPL 文中の検索条件をダッシュボード上で変更できるようにしてみましょう。
先ほどと同様の手順で、今度は「テキスト」を選択します。
テキスト入力が追加されたら、右上の鉛筆マークをクリックしてください。
すると、以下のような編集項目が表示されます。
トークンに「level」という文字列を指定して適用ボタンを押します。
先ほどと同様にパネルの編集画面を開き、今度はサーチ文字列を以下のように書き換えます。
この SPL 文中の「$level$」が、指定したテキストに置き換わります。
index="_internal" sourcetype="splunkd" source="*/splunkd.log" log_level="$level$"
| table _time, event_message
編集が完了したら、右上の保存ボタンを押してダッシュボードを保存します。
これで、ダッシュボードの作成が完了しました。
検索期間を変更したり、テキストに入力する文字列を「 INFO 」や「 ERROR 」に変更したりして動作を確認してみてください。
なお、今回作成したダッシュボードは自動で更新されないので、うまく更新されない場合はパネルにカーソルをあてると右下に表示される更新マークをクリックしてください。
6. 既存ダッシュボードの利用/編集
作成済みのダッシュボードを利用したい場合や編集を行いたい場合は、まずダッシュボード一覧画面で編集したいダッシュボードの名前をクリックします。
クリックするとダッシュボードが開き、利用できます。
編集したい場合は、右上の「編集」をクリックすると編集画面に移動できます。
7. ダークモード
ダッシュボードの編集画面で「暗いテーマ」を ON にするとダッシュボードの見た目が黒を基調としたダークモードになります。
ダークモードにした画面は、以下のような感じになります。
見た目だけで処理自体に影響はありません。
好みに応じてどうぞ。
8. XML ソース
ダッシュボードの編集画面でタブを「ユーザーインターフェース」から「ソース」に切り替えると、ダッシュボードを XML ソースから編集することができます。
基本的にはここから編集を行うことはありませんが、外部のアプリケーションを利用するなど複雑な処理を実現したい場合は必要な場合があります。
また、ファイルとしてダッシュボードのソースを Splunk サーバ外に保管しておきたい場合は、ここからコピーしてファイルに貼り付けることで保管が可能です。
以上、ダッシュボードの基本について紹介しました。
次回はダッシュボードで使用できる入力パーツについて紹介します。