LoginSignup
1

More than 3 years have passed since last update.

Splunkを使って、ログの流れ(Flow)を可視化してみる - Splunk Business Flow

Last updated at Posted at 2019-06-02

Splunkの.conf2019で発表されたSplunk Business Flow (SBF)がリリースされたので
とりあえず使ってみよう。

Splunk Business Flowとは・・・?

要はログの中に存在する一意の値(value)をkeyとして、それに紐づくeventを可視化できる機能らしい。
Journey(旅?って何)って感じだがとりあえずやってみよう。

Splunk business flowをインストールしてみる

App自体は下記になるので、通常通りインストールしてみよう。

splunkbaseからダウンロード後、Main menuの歯車マークからinstall appでsplunk business flowをupしてみよう。uploadすると、再起動をしてね!ってでるからいったん再起動しよう。

Screen Shot 2019-06-02 at 9.27.24 PM.jpg

Splunk Business Flowを使ってみよう

再起動後、AppのリストにSplunk Business flowがでてくるので、クリックしてみよう。
そうすると、以下の画面出てくるけど、lincenseはいったんもってないので、Use trial licenseをクリックしてみる。

Screen Shot 2019-06-02 at 9.29.28 PM.jpg

そしたら、Use Trial Versionの緑ボタンをおしてみよう。(多分30日は使えるくさい)

可視化してみるぞい

いったん、可視化する前に別タブで、サンプルデータをupしましょう。
https://docs.splunk.com/Documentation/SBF/1.0.0/Tutorial/Uploadthetutorialdata

上のリンクから、Game_store.zipをlocalにダウンロードして、自分の環境にupしてみてください。
私の場合は
- index : tutorial
- sourcetype : default
- host : 適当

でupしました。

データうp後、Business flowの画面からNew Flow modelをクリック。

Screen Shot 2019-06-02 at 9.38.10 PM.jpg

そしたら、SPLを書く画面でてくるので、SPLをこんな感じで入れて、saveしましょう。

index="tutorial" sourcetype="web-6"

Screen Shot 2019-06-02 at 9.39.03 PM.jpg

saveすると、どのfieldでcorrelationするの?って言うのを聞いてくるので、こんな感じで選択。
今回はcustomer_idとorder_idをkeysにて、actionでsplit、attributeはcountry。

そのあと、右上のpreviewを押す。

Screen Shot 2019-06-02 at 9.40.57 PM.jpg

そうすると、フロー図が出てくるけど、データが古いので、左上のtime rangeを24hからall timeに変更しすると、こんな画面が出てくる。

Screen Shot 2019-06-02 at 9.44.32 PM.jpg

右側のペインにある、Journey step countをクリックすると、actionごとのカウント数が表示される。

Screen Shot 2019-06-02 at 9.46.01 PM.jpg

おもしろいのは、タブにあるConversionかな!Screen Shot 2019-06-02 at 9.52.08 PM.jpg

conversionをクリックすると、"Choose a step"という画面がでてくるのでそれぞれのactionを選択してみる。

今回はカートに入れた後に実際に購入したcustomerをみてみると、11.8%しかいなかったことがわかる。

Screen Shot 2019-06-02 at 9.49.18 PM.jpg

となると、カゴに入れた後に課金するまでの導線(UI/UX/システムのレスポンス、、etc)がよくない想像ができるのかな!

あと、もう一つ面白い機能としては、日で比較できることかな!
画面左上のABのボタンを押すと、画面が分割されるんだよね。

Screen Shot 2019-06-02 at 9.52.08 PM.jpg

分割された後、それぞれのA/Bパネルの日付を選択すると、前日・翌日のrateが簡単に見れるっていう便利さ。

Screen Shot 2019-06-02 at 9.55.06 PM.jpg

最後に

これ、普通にSPLでやろうとするとtransaction駆使しないといけないし、相当きついので、便利かなって思います。
一意に識別できるkeyとかがあるログであれば結構使えるんじゃないかな!
まだやってないけど、firewallとかのsession idとかclient ipをkeyにしてどういう動作をしているとか可視化すると、securityとかにも使えるんじゃないか説。

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
1