#本当は楽しいSplunk Vol.1
##なぜやるのか
社内外で日本語のSplunkの記事が少ない、Splunkサーチコマンド良くわからないまま挫折した、Splunk怖いorz...という声を良く耳にしたので、簡単にできるところから解説してみたいと思います。
##お題
誰の為に役立つか分かりませんが、東京都が公開している、緯度経度付きの駐輪場一覧リストをSplunkでゴニョゴニョしてみます。
##今回使うSplunkコマンド
##今回使うデータ
http://www.seisyounen-chian.metro.tokyo.jp/kotsu/churinjou.csv
(ヘッダを英語に加工&UTF-8で保存し直しておきましょう)
##Lookupの手順
Lookupとは自分でデータセットをCSVでアップロードして、Splunk上で利用できるようにすることです
1.まずはSettings > Lookups
2.Lookup table files(CSVはUTF-8で!)
3.CSV選んで名前を付けてSave
今回は「churinjou_rev1.csv」という名前でアップロードしてみました
それではサクッと呼び出してみましょう
Search画面にコマンドを叩き込んでみてください(inputlookupのサーチの場合は期間は特に気にしなくて大丈夫です)
|inputlookup churinjou_rev1.csv
##どこの区が駐輪場多いのか(チャリンコ天国)
結果は・・・足立区最強
|inputlookup churinjou_rev1.csv | top ward
##区別の駐輪場数と平均収容台数を出してみましょう
|inputlookup churinjou_rev1.csv | chart count avg(capacity) as avgCapacity by ward | sort -avgCapacity
##地図に駐輪場の数をプロットしてみましょう
今回は標準のMAPよりちょっとカッコよく見える、Custom Cluster MAPをインストールして使ってみましょう
https://splunkbase.splunk.com/app/3122/
|inputlookup churinjou_rev1.csv | geostats latfield=latitude longfield=longitude maxzoomlevel=14 count
実に美しい・・・光り輝く駐輪場たち。ピンクの元気玉みたいなのが足立区らへんです。
maxzoomlevelでズーム14~とかにしておくとかなり詳細な場所にズームできて捗りますよ!