実施環境: Splunk Cloud 8.2.2104.1
0. 概要
Splunk で使用できるグラフについて、今回は折れ線グラフ及び積み上げ折れ線グラフを紹介します。
折れ線グラフ及び積み上げ折れ線グラフは、各地点での値の高さに線を引くことで、値がどのように変化するかを表すグラフです。
時間の経過などによる値の変化を見たい場合に有用です。
1. SPL 文の組み方
今回、例とする SPL 文には以下を使用します。
index="_internal" sourcetype="splunkd" source="*/metrics.log" group="per_index_thruput"
| timechart span=1h avg(kbps) BY series
表としては一番上のヘッダ行に横軸の名前とグラフの線の名前が入り、2行目以降は一番左の列に横の値、2列目以降に縦の値が入ります。
timechart コマンドで関数フィールド1つ、グラフの線の名前を BY 句に指定したものがよく使用されます。
また、 chart コマンドで関数フィールド1つ、横軸の値を OVER 句に、グラフの線の名前を BY 句に指定してもちょうどこのようになります。
| 横軸名 | 線名 | 線名 | ... |
|---|---|---|---|
| 横の値 | 縦の値 | 縦の値 | ... |
| 横の値 | 縦の値 | 縦の値 | ... |
| ... | ... | ... | ... |
なお、グラフの線が1つでよい場合は、以下のように stats コマンドでもグラフを作成できます。
index="_internal" sourcetype="splunkd" source="*/metrics.log" group="per_index_thruput"
| stats sum(kb) BY series
2. 使用方法
折れ線グラフ・積み上げ折れ線グラフは、 Splunk 視覚エフェクトの「 Line Chart 」または「 Area Chart 」を選択することで使用できます。
「 Line Chart 」の場合は折れ線だけですが、「 Area Chart 」の場合は折れ線より下が半透明の同じ色で塗り潰される形で表示されます。
3. 積み上げ折れ線グラフ
「 Area Chart 」を使用した際のフォーマットの全般タブには、「スタックモード」という設定項目があります。
この設定を変更することで、グラフを通常の折れ線グラフから積み上げ折れ線グラフに変更できます。
「スタックなし」を指定した場合は、通常の折れ線グラフとして表示されます。
「スタック」を指定した場合は、積み上げ折れ線グラフとして表示されます。
項目毎の合計値についても見たい場合は、こちらの方が見やすいかと思います。
「100%スタック」を指定した場合は、各項目の比率についての積み上げ折れ線グラフとして表示されます。
値自体ではなく、値の比率の変化が見たい場合にはこちらを使用します。
4. データが無い場合の扱い
「 Line Chart 」または「 Area Chart 」を使用した際のフォーマットの全般タブには、「 NULL 値」という設定項目があります。
グラフの途中でデータが無い箇所が発生した場合の動作は、この設定で指定します。
「ギャップ」を指定した場合は、データが無い箇所には何も表示せず、グラフの線も繋ぎません。
「0」を指定した場合は、データが無い箇所には「0」という値が入っているものとしてグラフを作成します。
「接続」を指定した場合は、データが無い箇所の前後をそのまま直線で繋ぎます。
以上、折れ線グラフの基本的な使い方について紹介しました。
次回は棒グラフについて紹介します。