はじめに
Splunk の機能に Analytics Workspaceという機能が version 8.0 以降に追加されたのをご存知でしょうか? 以前は別の追加アプリとなっていたものが,defaultで利用できるようになったものです。
Search画面の上のタブにあります。
私自身あまり使ったことが無かったのですが、一度利用すると非常に便利だということがわかりましたのでご紹介したいと思います。
どんな時に利用するの?
メトリックデータなどの場合、グラフをみながら日付を変更したり、平均値ではなくて p90にしたり、過去のデータと比較したり、他のメトリック値と一緒にチェックしたり。したいですよね。
これを通常のSPLなどで可視化して、ダッシュボードに実装して。とかすると結構面倒な作業になります。
またダッシュボードの場合、他のグラフと同じ時間で比較しようとしても連動してくれなかったりとメトリック値を扱うにはちょっと不便さを感じてしまいます。
そんな時にこの Analytics Workspaceが利用できるのです。
どんな事ができるの?
まずはこちらの短い動画をご覧ください。
特徴1: SPL無しで可視化できる
面倒なSPLを書かなくても、左側のペインから対象を選ぶだけで可視化ができます。メトリックデータ以外にもデータセットで高速化されている数値データであれば同じようにできます。数値データ以外は count と dcのみ表示可能。
このデータセットも扱えるのはポイント高いです。
特徴2: 複数のグラフ間でポインターが同期される
全てのグラフの動きが連動しているので、特定のメトリックデータの動きと他のデータを比較しやすい。
特徴3: グラフの集計方法や分割基準などを自由に変更可能
やはりトラブルなどが起きた時は他のサーバはどうなのか。とか平均値や p90でチェックしたりとグリグリと変更したいですよね。右側のペインでこのようなことが簡単にできます。
特徴4: タイムシフト機能
過去のデータと簡単に比較できます。タイムシフト機能により正常時の動きと比較などが簡単に。
特徴5: リアルタイム表示
自動更新機能を有効にすると、表示を自動更新してくれます。リアルタイムモニタリングの際には便利ですよね。
特徴6: グラフの種類
グラフの種類は限られていますが、このような利用用途では十分かと。
特徴7: アラート機能
グラフの右上の「・・・」からアラート作成できます。アラートアクションなどは通常のSplunkと同じように様々なアクションを取れます。
特徴8: 通常のダッシュボードの一括追加できる
最後に、ここで表示したグラフをこの先もチェックしたい場合、ダッシュボードとして追加できます。
右上の「・・・」から、「すべてのグラフをダッシュボードに保存」をクリック
下のようにダッシュボードに追加できました。SPLを一度も書かずに運用できますね。
しかも、グラフの下には、先ほどのワークスペースに戻るボタンがあります。
特徴9: PNGで保存したり、サーチ画面にいけたり
もちろんダッシュボード追加だけではありません。サーチ画面に移動したり、レポート作成したり、PNGで保存したり。といろんな機能があります
データセットから読み込む場合
メトリックデータ以外にもデータセットのデータも読み込む事が可能です。ただしデータセットは高速化が有効にになっている必要があります。
データセットについては、以前記事を書いているのでそちらをご覧ください。下の記事のステップ1がデータセット作成の方法の1つです。「編集」のオプションで高速化を有効にする。というのもあります。(記事には書いてませんが)
・SPLを利用せずに分析したい! Splunk ピボット機能使ってみた
数値データであれば、メトリックと同じように扱えます。それ以外はcountまたはdc(dist count)のみ選択できます
最後に
如何でしたか? 特に運用監視で利用したい場合には重宝できる機能だと思いました。