Splunkの.conf2019で発表されたSplunk Business Flow (SBF)がリリースされたので
とりあえず使ってみよう。
Splunk Business Flowとは・・・?
要はログの中に存在する一意の値(value)をkeyとして、それに紐づくeventを可視化できる機能らしい。
Journey(旅?って何)って感じだがとりあえずやってみよう。
Splunk business flowをインストールしてみる
App自体は下記になるので、通常通りインストールしてみよう。
splunkbaseからダウンロード後、Main menuの歯車マークからinstall appでsplunk business flowをupしてみよう。uploadすると、再起動をしてね!ってでるからいったん再起動しよう。
Splunk Business Flowを使ってみよう
再起動後、AppのリストにSplunk Business flowがでてくるので、クリックしてみよう。
そうすると、以下の画面出てくるけど、lincenseはいったんもってないので、Use trial licenseをクリックしてみる。
そしたら、Use Trial Versionの緑ボタンをおしてみよう。(多分30日は使えるくさい)
可視化してみるぞい
いったん、可視化する前に別タブで、サンプルデータをupしましょう。
https://docs.splunk.com/Documentation/SBF/1.0.0/Tutorial/Uploadthetutorialdata
上のリンクから、Game_store.zipをlocalにダウンロードして、自分の環境にupしてみてください。
私の場合は
- index : tutorial
- sourcetype : default
- host : 適当
でupしました。
データうp後、Business flowの画面からNew Flow modelをクリック。
そしたら、SPLを書く画面でてくるので、SPLをこんな感じで入れて、saveしましょう。
index="tutorial" sourcetype="web-6"
saveすると、どのfieldでcorrelationするの?って言うのを聞いてくるので、こんな感じで選択。
今回はcustomer_idとorder_idをkeysにて、actionでsplit、attributeはcountry。
そのあと、右上のpreviewを押す。
そうすると、フロー図が出てくるけど、データが古いので、左上のtime rangeを24hからall timeに変更しすると、こんな画面が出てくる。
右側のペインにある、Journey step countをクリックすると、actionごとのカウント数が表示される。
conversionをクリックすると、"Choose a step"という画面がでてくるのでそれぞれのactionを選択してみる。
今回はカートに入れた後に実際に購入したcustomerをみてみると、11.8%しかいなかったことがわかる。
となると、カゴに入れた後に課金するまでの導線(UI/UX/システムのレスポンス、、etc)がよくない想像ができるのかな!
あと、もう一つ面白い機能としては、日で比較できることかな!
画面左上のABのボタンを押すと、画面が分割されるんだよね。
分割された後、それぞれのA/Bパネルの日付を選択すると、前日・翌日のrateが簡単に見れるっていう便利さ。
最後に
これ、普通にSPLでやろうとするとtransaction駆使しないといけないし、相当きついので、便利かなって思います。
一意に識別できるkeyとかがあるログであれば結構使えるんじゃないかな!
まだやってないけど、firewallとかのsession idとかclient ipをkeyにしてどういう動作をしているとか可視化すると、securityとかにも使えるんじゃないか説。