実施環境: Splunk Cloud 8.2.2104.1
0. 概要
Splunk で使用できるグラフについて、今回は棒グラフ及び積み上げ棒グラフを紹介します。
棒グラフ及び積み上げ棒グラフは、値の長さ分の棒を伸ばすことで、各項目がどれだけの大きさの値を持つかを表すグラフです。
項目毎の値の大きさの違いを見たい場合に有用です。
1. SPL 文の組み方
今回、例とする SPL 文には以下を使用します。
index="_internal" sourcetype="splunkd" source="*/metrics.log" group="per_index_thruput"
| chart sum(kb) OVER ingest_pipe BY series
表としては一番左の列にグループ化する項目名とグループ名が入り、2列名以降は一番上のヘッダ行にグラフの棒の名前が、2行目以降に棒の長さが入ります。
chart コマンドで関数フィールド1つ、グループ化する項目を OVER 句に、グラフの棒にする項目を BY 句に指定するとちょうどこのようになります。
| グループ項目名 | 棒名 | 棒名 | ... |
|---|---|---|---|
| グループ名 | 棒長さ | 棒長さ | ... |
| グループ名 | 棒長さ | 棒長さ | ... |
| ... | ... | ... | ... |
なお、グループ化しない場合は、以下のように stats コマンドでもグラフを作成できます。
index="_internal" sourcetype="splunkd" source="*/metrics.log" group="per_index_thruput"
| stats sum(kb) BY series
ただし、上記の stats を使った棒グラフは正確には「1本の棒のみを持つグループが複数」という形をとっているため、「複数の棒を持つグループが1つ」の場合とは表示のされ方が若干異なることに注意してください。
またこの違いにより、後述の積み上げ棒グラフでは stats を使った場合上手く表示されません。
2. 使用方法
棒グラフは、 Splunk 視覚エフェクトの「 Column Chart 」または「 Bar Chart 」を選択することで使用できます。
「 Column Chart 」の場合棒は下から上に、「 Bar Chart 」の場合は左から右に伸びる形で表示されます。
3. 積み上げ棒グラフ
「 Column Chart 」または「 Bar Chart 」を使用した際のフォーマットの全般タブには、「スタックモード」という設定項目があります。
この設定を変更することで、グラフを通常の棒グラフから積み上げ棒グラフに変更できます。
「スタックなし」を指定した場合は、通常の棒グラフとして表示されます。
「スタック」を指定した場合は、積み上げ棒グラフとして表示されます。
項目毎の合計値についても見たい場合は、こちらの方が見やすいかと思います。
「100%スタック」を指定した場合は、各項目の比率についての積み上げ棒グラフとして表示されます。
値自体ではなく、値の比率の違いが見たい場合にはこちらを使用します。
なお、グループ化なしで積み上げ棒グラフを作成したい場合は、以下のようにダミーのグループを作るなどして、「グループが1つのデータ」を作るように上手くデータの形を整える必要があります。
index="_internal" sourcetype="splunkd" source="*/metrics.log" group="per_index_thruput"
| eval value = ""
| chart sum(kb) OVER value BY series
以上、棒グラフの基本的な使い方について紹介しました。
次回は円グラフについて紹介します。