はじめに
Splunk 初心者にとってネックになるのが SPL言語になります。比較的簡単な言語なので慣れると非常に便利なのですが、普段使わないユーザーにとっては、分析する際の壁になってしまいます。
コマンド打ちたいわけじゃない!分析がしたいんだ!
そんな時はピボット機能を使ってみましょう!
Step1 : ピボットで利用するためにテーブルビューを作成
これは、ピボットで利用するためのデータを指定する作業になります。Excelでもピボットを利用する前にデータ範囲を指定しますよね。これと同じです。
(補足)ちなみに Splunkに詳しい方であればデータモデルでも同じようにピボット機能を利用できます。
「データセット」タブを選択して、「テーブルビューの作成」を選択します。
次に、対象のデータが入っているインデックスとソースタイプ(複数指定可)を選択します。
次に、分析したいフィールドを選択します。(複数指定可)
指定したデータが表示されます。ここで最後にデータの加工ができます。
例えば、null値を変換したり、一定の値以上だけにフィルターしたりなどです。(ほとんどの操作がGUIで可能です)
テーブルビューができたら、「保存」ボタン!
これで準備は完了です。
ステップ2 : ピボット作成
作成したテーブルビューは、「データセット」タブから選択できます。対象のデータセットの「アクション」に「ピボットで可視化」を選択します。
ピボットの編集画面になりますので、列に action, 行に clientipを選択してみます。
列値に productIdを選択すると、対象の productId リストが表示することも可能です。
もう一度、count数に戻して、ヒートマップで表示もできます。
フィルター条件を追加することも可能です。
左側のペインから、グラフを選択すると、様々な可視化が可能です。
保存
分析した結果はレポートやダッシュボードに保存可能です。
一度保存したレポートをピボットで再編集することも可能です。
最後に
如何だったでしょうか? SPLを知らなくてもかなりの分析はできるようになります。
もちろんSPLを知っていた方が、できることは多いですが。 Splunkのライトユーザーはこちらから初めてみては如何でしょうか?