実施環境: Splunk Cloud 8.2.2104.1
0. 前置き
SPL の実行結果は、以下の通りタブを選択することによりいくつかの形式で表示できます。
今回はその表示形式について紹介していきます。
1. 検索結果
stats 等で統計化していない単純な検索結果では、以下の2つの表示形式が使用できます。
-
イベント : 元ログと各フィールドを表示する。個々のログの細かい内容を見たい場合に有用。
-
パターン : 元ログのパターンを抽出して表示する。ログ全体の大まかな傾向を見たい場合に有用。
例として以下の SPL 文を使用します。
index="_internal" sourcetype="splunkd" source="*/splunkd.log"
1.1. イベント
検索でヒットしたログの元ログとフィールドに関する情報を表示する形式です。
上側に時間別のログ件数が棒グラフで表示され、左下には抽出されたフィールド情報、右下には元ログとその出力時間が表示されます。
どのような項目が含まれているかといった、ログの細かい内容を知りたい場合に有用です。
求めるフィールドが見つからない場合は、検索モードを「スマートモード」や「詳細モード」にすると表示されることがあります。
1.2. パターン
元ログから似たパターンのログをまとめ、抽出したパターンを表示する形式です。
大量のログについて、出力内容の大まかな傾向を見るのに有用です。
2. 集計結果
stats 等で統計化した結果に対しては、以下の2つの表示形式が使用できます。
-
統計情報 : 表形式で表示する。細かい値が必要な場合に有用。
-
視覚エフェクト : グラフ形式で表示する。全体の傾向が必要な場合に有用。
例として以下の SPL 文を使用します。
index="_internal" sourcetype="splunkd" source="*/splunkd.log"
| timechart count BY log_level
2.1. 統計情報
集計結果を表形式で表示する形式です。
個々の項目について細かい値が見たい場合に有用です。
2.2. 視覚エフェクト
集計結果をグラフ形式で表示する形式です。
集計結果全体の大まかな傾向が見たい場合に有用です。
最後に紹介した視覚エフェクトですが、ここで使用できるグラフには様々な種類があります。
デフォルトで Splunk に入っているグラフもそこそこの個数がありますし、アドオンを追加すればさらにその種類は増えます。
次回以降はその Splunk において使用できるグラフのうち、デフォルトで使用できる代表的なものについて基本的な内容を紹介していこうと思います。