概要
Slack でコミュニケーションしている最中に画面を切り替えずに、そのままデータ分析できたらどうでしょう?これを実現するツールが、Luna という slack アプリケーションです。本日はこちらのアプリを紹介します。
例えば、アラートが上がったけど、影響があるユーザーは? 〇〇店の午前中の売り上げは? サーバレスポンス悪いけど大丈夫? など Slackでチャットをしている最中に急に状況を聞かれたら。そんな時にそのままslack上で SPL コマンドを叩いて結果を表示できたら楽(?)ですよね。たぶん。。
使えるケースは限られるかもしれませんが、 保存しているレポートも呼び出せるので、見たいレポートをその場で呼び出して見るくらいなら使えるかもしれませんね。
Luna とは
Slack のアプリで、2017年に Splunk Innovation Award に選ばれたとあります。
アプリ概要はこちらの動画がわかりやすいです。
https://vimeo.com/218820097
上記のホームページに、 Free during Public beta とあります。金額については他にどこにも記載がないので今はフリーで利用できると思います。(設定時にも特に金額に関する記入や説明欄等はありませんでした)
できること
非常にシンプルで以下の3つのみ
・ Slack内で、Splunk SPL を使ったカスタムサーチが可能
・ Slack内で、Splunk の Saved Search を呼び出せる。(レポート呼び出しですね)
・ サーチリンクが貼ってあるので、細かいサーチの続きはそちらにピンポイントに移動。
あまり複雑なことはできないので(そもそも Slack内からなので、ちょっとしたレポートを見たい時に役立つ程度)、うまく使い分けることが重要かなと思います。
設定方法
- Slack でアプリ追加 (Luna を検索して、追加)
- luna のサイトに飛ぶので、まずはユーザー作成(図1)
- Slack のワークスペースを選択し、アクセス許可を与える
- Splunk Server を登録する。(専用のアカウントを作った方が良さそうです) (図3)
注意事項:
・ ベータ版だからなのか、選択できるワークスペースは、1アカウントで一つのみ。しかも一度登録すると変更できない(正確には変更方法がわからない)
・ 登録ユーザーのみがチャネルへ luna(ボット)を招待できますが、他のユーザーは特に登録不要で利用できます。
図1:
図2:
利用方法
1) チャネルへの luna(ボット)を招待。 (lunaの登録ユーザーのみ可能)
2) 通常のサーチ
@luna run search index=test |stats count by source
**Splunk内だと search は省略可能だが、lunaを利用する場合は、しっかりと search を最初に書かないとだめ。**
@luna run search index=tutrial source=*access* earliest=-2d@d action=purchase
** グラフではなく、単純にイベントサーチしただけの場合は、グラフは表示されず、サーチ結果数とリンクが表示されるのみ**
3) レポート呼び出し
@luna run saved search login-fail
レポートを呼び出して表示できるので、SPLを毎回フルで打たなくてもいい
Splunの場合、レポート呼び出しは、|savedsearch login-fail だが、lunaの場合、そこが少し違うので注意。
4) その他
失敗例1) 地図を表示しようとしてもできなかった。
失敗例2) searchコマンドを入力しないと、何も反応しない。
何もレスがない。。
最後に
グラフの種類を選択したり、細かい操作はできなさそうなため、あくまでちょっとしたデータをみるときや最新レポートをみんなでチェックしたいときなどに使うと良さそう。みんなで議論しながら、いろんなサーチをドリルダウンしていけたら面白いかもしれない。
でもフィールド名とか覚えていないと、細かい分析できないので、いつも利用しているレポートやフィールドがわかっているデータしか使えなさそうだなーと、今更ながら思いました。