実施環境: Splunk Cloud 8.2.2104.1
0. 概要
Splunk で使用できるグラフについて、今回は円グラフを紹介します。
円グラフは、1つの円を項目毎に切り分けることで、各項目が全体のどれくらいを占めるかを表すグラフです。
項目毎の割合が見たい場合に有用です。
1. SPL 文の組み方
今回、例とする SPL 文には以下を使用します。
index="_internal" sourcetype="splunkd" source="*/metrics.log" group=queue
| stats sum(current_size) BY name
表としては2列の構成で、以下のように一番上のヘッダ行を除いて左の列が項目、右の列が値となるようにします。
stats コマンドで関数フィールド1つ、 BY 句に項目を指定するとちょうどこの形になります。
値はグラフ内で自動的にパーセント形式に変換されて描画されるので、 SPL 文中でパーセント形式に変換する必要はありません。
| - | - |
|---|---|
| 項目 | 値 |
| 項目 | 値 |
| ... | ... |
2. 使用方法
円グラフは、 Splunk 視覚エフェクトの「 Pie Chart 」を選択することで使用できます。
3. 最低サイズ
「 Pie Chart 」を使用した際のフォーマットには、「最低サイズ」という設定項目があります。
グラフが10以上の項目に分割される場合に、ここで指定した値以下の項目は「 other 」として省略されます。
以下の2つのグラフは、上が最低サイズが1%の時、下が10%の時のものです。
1%のときは表示されていた「 parsingqueue 」が10%では表示されなくなり、「 other 」の個数が12個から13個に増えているのがわかります。
大きい項目がいくつかあってその他小さい項目が複数、というデータなら最低サイズは大きめにとるほうがわかりやすいです。
一方、同じくらいの項目がいくつもあるようなデータなら、最低サイズは小さめにとらないと「 other 」ばかりになってしまいます。
どのくらいのサイズを指定するのが適切かはデータによって異なるので、適切なサイズを色々探してみてください。
以上、円グラフの基本的な使い方について紹介しました。
次回は単一値グラフについて紹介します。