Splunk Observability Cloudのチャートビルダーを使用してメトリクスとイベントをプロットする 🔗
チャートは詳細なカスタマイズが可能です。このトピックでは、チャートビルダーのツールやオプションを使用してチャートをカスタマイズし、シグナル(メトリクスやイベント)を直感的で説得力のある手段で表示する方法について説明します。
注釈
チャートビルダーは、すでにSplunk Observability Cloudのチャートに慣れていて、より高度な機能を使用する準備が整っている場合にのみ使用してください。チャートのよりシンプルな作成方法については、メトリクスサイドバーを使用してチャートを作成する を参照してください。
既存のチャートを編集する場合は、チャート上にすでにあるプロット線を設定することから始めるとよいでしょう( プロットの基本オプションを設定する および プロット設定パネルでオプションを設定する を参照してください)。
プロット線にシグナルを指定する 🔗
シグナルとは、チャート上にプロットする metric または ヒストグラムメトリクス のことで、これにフィルターを追加したり、分析を適用したりします。プロット線(プロット)は、チャートの構成要素です。チャートは1つまたは複数のプロットを持ち、各プロットは、シグナルによって表される metric time series またはヒストグラムメトリクスと、そのプロパティおよびディメンション、フィルター、適用される分析で構成されます。
注釈
メトリクスの代わりに、時系列式 を入力して複合メトリクスまたは派生メトリクスを作成したり、チャート上に表示する イベント を指定したり、ディテクターをチャートにリンク してアラートのステータスをチャート上に表示することもできます。
チャートビルダーにアクセスするには、ナビゲーション メニュー を開き、ダッシュボード を選択します。作成 メニュー(+)で、チャート を選択します。
メトリクス名またはタグを入力する 🔗
表示したいメトリクスまたはヒストグラムメトリクスの名前がわかっている場合は、プロットエディター タブの シグナル フィールドにその名前を直接入力します。Splunk Observability Cloudが、タイプ先行検索を使用して、入力中の文字と一致するメトリクスを表示します。
Splunk Observability Cloudでは、まだデータ送信を開始していないシグナルをプロットするチャートを作成できます。プロットを希望するメトリクスまたはヒストグラムメトリクスの名前を入力し、Enter を選択します。そのシグナルのデータが到着し始めると、チャート上に表示されます。
ワイルドカードの使用 🔗
シグナル フィールドにメトリクス名を入力する際、ワイルドカードを使用できます。
メトリクスがGraphiteメトリクスの命名規則に従っている場合は、Graphiteのワイルドカードとノードのエイリアシングについて プロットのGraphiteオプション を参照してください。
注釈
ワイルドカード検索は、すべてのデータタイプにわたる結果を返します。例えば、histogram.* は、検索クエリに一致する名前を持つすべてのメトリクスとヒストグラムメトリクスを返します。
シグナルの代わりに時系列式を入力する 🔗
シグナル フィールドに入力できるもうひとつの有効な項目は、時系列式です。時系列式は、当該チャート内の他のプロット(1つまたは複数)に依存する数式です。式は、比率や変化率の他、式を使用して指定できると考えられる複合メトリクスや派生メトリクスに有用です。
式の入力 を選択し、シグナル フィールドに式を入力します。
例えば、あるシステムのキャッシュヒットのパーセンテージを表示したいとします。プロットAがキャッシュヒットのカウントを表示し、プロットBがキャッシュミスのカウントを表示する場合、プロットCで以下の式を使用して、キャッシュヒットのパーセンテージを表示することができます:
(A/(A+B)) * 100
複合メトリクスCのみをチャートに表示するには、プロットAとBの左にある目のアイコンを選択して、非表示にします。
注釈
数式フィールドは、算術記号( +、/、-、* )、括弧、数字、およびプロットキーを表す文字のみを受け付けます。
プロットが表示しているエントリの種類を判別する 🔗
テキストのエントリが式なのか、メトリクスなのか、イベントなのか混乱する可能性がある場合に、Splunk Observability Cloudは曖昧さをなくすために異なるアイコンを表示します:
定規のアイコンはメトリクスを表します。
電卓のアイコンは数式を表します。
菱形のアイコンはカスタムイベントを表します。
三角形の警告アイコンは、アラート(ディテクターによってトリガーされるイベント)を表します。
黒いベルのアイコンは、リンクされたディテクターを表します。
複数のプロットを扱う 🔗
チャートには多くのプロットを含めることができます。複数のプロットを追加した後、チャートをより見やすくするため、あるいはチャート内での表示をコントロールするためには、プロットの順序を変更するといいでしょう。詳細は チャート内のプロットの順序を設定する を参照してください。
また、異なるプロットに異なる色やその他の視覚効果を設定するといいでしょう。プロットのカスタマイズの詳細については、プロット設定パネルでオプションを設定する を参照してください。
同じ名前を共有している異なるメトリクスタイプをプロットする 🔗
カウンターメトリクスとヒストグラムメトリクスなど、複数のメトリクスタイプをSplunk Observability Cloudに送信する場合は、データ処理と分析の複雑化を避けるために、別々の名前を使用することをお勧めします。
異なるメトリクスタイプに同じ名前を使用した場合、Splunk Observability Cloudは、これらのメトリクスのすべてがヒストグラムではないものとみなします。
この場合、メトリクスをヒストグラムとしてプロットしたい場合には、以下の手順を実行してSignalFlowプログラムを編集します:
プロットエディター タブで View SignalFlow を選択します。
data()関数をhistogram()に変更します。例えば、data('service_latency')をhistogram('service_latency')に変更します。
publish()メソッドはhistogram()関数ではサポートされていないため、削除します。サポートされているメソッドをSignalFlowプログラムに追加します。例:
histogram('service_latency').sum()
ヒストグラム関数とサポートされるメソッドの詳細については、SignalFlowリファレンスドキュメントの histogram() を参照してください。
アーカイブ済みメトリクスをチャートで使用する 🔗
アーカイブ済みのメトリクスをチャートのシグナルとして選択した場合、そのアーカイブ済みメトリクスはプロットできません。
アーカイブ済みのメトリクスをチャートに含めるには、アーカイブ済みメトリクスをリアルタイムにルーティングするか、例外ルールを作成して利用できるようにします。詳細については、ルーティング例外ルールを使用して、特定の MTS をルーティング、またはアーカイブされたデータをリストアします。 のセクションを参照してください。
MPMの詳細については、メトリクス パイプライン管理の概要 を参照してください。
シグナルをフィルタリングする 🔗
シグナルを選択したら、見たいものの範囲を決定する必要があります。Splunk Observability Cloudでは、メトリクスのメタデータを使用してシグナルを絞り込むことができます。
例えば、あるサービスのレイテンシを調べたいが、本番環境のレイテンシにのみ関心があるとします。Splunk Observability Cloudでは、レイテンシがメトリクスであり、サービス名と環境名は両方ともメトリクスに関連するメタデータの一部となる可能性があります。
フィルターが適用されると、チャートに表示されるデータはリアルタイムで更新され、希望する選択が行われていることを確認することができます。NOT フィルターの指定や複数フィルターの使用など、フィルターの指定に関する詳細は、フィルター を参照してください。シグナルをフィルタリングする手順は、フィルターのオーバーライドを指定する手順と同じです。
注釈
許可するデータを選択する で説明したように、フィルター条件に一致するデータ、またはプロパティが欠落しているデータを許可するように選択した場合、分析関数を適用してからそのプロパティでグループ化すると、そのプロパティが欠落しているデータは除外されます。これを行うには、分析の追加 を選択し、関数を選択して、グループ化の基準 の値を選択します。
シグナルにフィルターをかけると、フィルターオプションを表すトークンが プロットエディター タブに追加されます。トークンがデフォルトの青色ではなく灰色になっている場合は、ダッシュボードの変数またはフィルターによってフィルターオプションがオーバーライドされ、それがチャートに伝搬していることを示しています。これは、例えば、オーバーライド セクションで、プロット線に追加したフィルタ―と競合する フィルター の値を設定した場合に発生します。
注釈
オーバーライドの値を追加または編集すると、チャートを閉じたときに、このチャートのダッシュボード内のすべてのチャートにその値が適用されます。詳細については、ダッシュボード内のすべてのチャートの設定を指定する を参照してください。
プロットのロールアップまたはヒストグラム関数の表示および変更 🔗
メトリクスのロールアップを変更する 🔗
すべてのシグナルには、デフォルトの rollup が関連付けられており、これは 自動 と表示されています。ロールアップラベルに 複数 と表示されている場合は、同じプロット上の異なるメトリック時系列(MTS)に対して異なるロールアップ関数が適用されていることを意味します。これは、ロールアップの設定がデフォルトのまま残されていて、プロットに異なるメトリクスタイプを持つメトリック時系列が含まれている場合に起こります。プロットが、多くの異なるメトリクスに一致するワイルドカードクエリを含む場合、同じプロット上のMTSが異なるメトリクスタイプを持つ可能性があります。また、プロットに含まれるメトリクスが1つでも、そのメトリクスが異なるタイプの測定値を記録するために使用されている場合に、これが起こり得ます。
ロールアップは、チャートデータを効果的に表示するための必要に応じたチャート解像度の調整に使用されます。詳細は チャートのデータ解像度とロールアップ を参照してください。
ヒストグラムメトリクスのためのヒストグラム関数を追加する 🔗
ヒストグラムデータは、ヒストグラム内のバケットを組み合わせて集約する必要があるため、プロットのシグナルとしてヒストグラムメトリクスを使用する場合は、ヒストグラムデータをどのように解釈し、チャート上でどのように表現するかを定義するために、ヒストグラム関数を追加する必要があります。
ヒストグラム関数を追加するには、Select function を選択し、ヒストグラム関数 のドロップダウンメニューから関数を選択します。ヒストグラム関数とサポートされるメソッドの詳細については、SignalFlowリファレンスドキュメントの histogram() を参照してください。
プロットに分析を適用する 🔗
このプロット上の時系列に analytics を適用することができます。分析の追加 を選択すると、利用可能な関数のリストが表示されます。Splunk Observability Cloudは、Sum、Count、Mean などの基本的な関数だけでなく、Percentile、Timeshift、Top/Bottom、Exclude などのより強力な関数もサポートしています。関数にカーソルを合わせると、簡単な説明が表示されます。
注釈
分析関数の中には、特定のロールアップタイプと同じ名前を持つものがありますが、その動作はまったく異なります。ロールアップと分析の連携については、ロールアップと分析関数の相互作用 を参照してください。
適用したい分析関数の名前がわかっている場合は、分析 フィールドに入力します。Splunk Observability Cloud は、タイプ先行検索を使用して、一致する語句のリストを提供します。または、スクロールしてリストから関数を選択します。関数を適用すると、トークンとして表示されます。
シグナルには、1つまたは複数の分析を適用できます。1つのシグナルに複数の分析関数を適用した場合は、表示の順に適用されます。トークンをドラッグ&ドロップすることでこの順番を変更できます。
集計と変換 🔗
多くの分析関数は、集計と変換という2つの方法で時系列に関する計算を行うことができます。集計は、プロット上の複数の時系列にまたがって演算し、ある期間におけるすべてのデータベース呼び出しの合計などのように、データの統合的ビューを表示します。変換は、過去10分間のデータベース呼び出し回数や、1日の開始時点からのデータベース呼び出し回数などのように、移動ウィンドウまたはカレンダーウィンドウによる指定期間のデータを表示します。詳細については、データの集約と変換 を参照してください。
より強力な分析 🔗
Splunk Observability Cloudの分析は、ここで説明したように単純なメトリクス値の表示だけではなく、多くのことが実行できます。分析は、チャートを生のメトリクスの表示から、過去のデータと現在のデータの比較や、トレンドデータの表示によるシステム健全性の積極的な監視といった強力なツールに変えることができます。詳細については、チャートの分析によってインサイトを取得する を参照してください。
メトリクスの詳細データを見る 🔗
チャートにカーソルを合わせると、注目している時系列のプロット線がハイライトされ、データポイントに関する情報が表示されます。
チャート内のデータポイントの詳細情報を見るには、 データテーブル タブを選択します。チャート上のポイントをピン留めしていない場合は、チャート内の最新データの値が表示されます。または、チャート内を選択し、ある時点をピン留めして データテーブル タブを表示することもできます。
注釈
チャートビルダーで プロット名 を編集した場合、または 表示単位 を指定した場合、それらの情報はチャートにカーソルを置くと表示され、データテーブル 内にも表示されます。例えば、値として 250 が表示される代わりに、250 ms (サフィックスとして ms を指定している場合)や $250/millisecond (プレフィックスとして $ を指定し、サフィックスとして /millisecond (ミリ秒)を指定している場合)が表示されます。
チャート上のさまざまな領域にカーソルを移動すると、カーソルの下にあるプロット線が強調表示され、そのプロット線の詳細線が強調表示されます。ハイライトされた情報を見つけるために、データテーブル タブをスクロールしなければならない場合があります。ある値をピン留めしている場合は、その値がテーブルの最初の列に表示され、カーソルを動かすと、他の値をその値と比較することができます。
プロット線にカーソルを置くとテーブル内の線が強調表示されるのと同様に、テーブル内の線にカーソルを置くと対応するプロット線がチャート上で強調表示されます。
データテーブル タブでディメンションにカーソルを合わせると、アクション メニューアイコン(⋯ )が表示されます。メニューオプションを使用すると、ディメンションの値に基づいて、チャートの オーバーライド バーにフィルターを追加できます。(個々のプロット線ではなく)チャート全体のフィルタリングの詳細については、フィルター を参照してください。
チャートオプション タブを使用して、データテーブル タブに 表示する列 を指定します。
データテーブル タブからデータをCSVファイルにエクスポートすることができます。これを行うには、タブの右上にある CSVにエクスポート アイコンを選択します。
チャートでイベントを見る 🔗
チャート上にイベントマーカーを表示すると、発生したイベント(ディテクターによるアラートのトリガーなど)とチャート上に表示されたメトリクスとの相関関係を確認するのに役立ちます。たとえば、同時使用ユーザー数が特定の値に近づくとCPUの使用率(%)が急上昇することが分かるというような場合があります。この情報を使用して、ユーザー数の増加に伴う過剰なCPU負荷を最小限に抑えるようにシステムを調整できます。
イベントに関する背景情報は、イベントを使用してメトリクスにコンテキストを追加する を参照してください。
発生したイベントを表示する 🔗
detector によってトリガーされたイベント、またはカスタムイベントの発生を追加するプロセスは、メトリクスをシグナルとして指定 する場合と基本的に同じです。唯一の違いは、メトリクスサイドバーを使用 する場合に、イベントの検索 オプションを選択してディテクターまたはカスタムイベントの名前を検索する必要があることです。
注釈
イベントのみを検索するために メトリクスの検索 オプションをクリアすると、メトリクスサイドバーの他の検索オプションは使用できません。一致するディテクターまたはカスタムイベント名を検索するには、手動でテキストを入力する必要があります。同様に、フィルターを追加すると、イベントではなくメトリクスのみを検索できます。
イベントマーカー 🔗
イベントマーカーはチャートのX軸に沿って表示されます。イベント タブを選択すると、イベントリストを表示したり、新しいカスタムイベントを作成したりする手順が表示されます。
イベントマーカーにカーソルを合わせると、その時間窓のイベント数が重大度別のグループで表示されます。
カスタムイベントは空洞の菱形で表示されます。
ディテクターイベントによって生成されたアラートは、アラートの重大度を示す色で区別された三角形で表示されます。塗りつぶしの三角形はイベントがトリガーされたことを示し、空洞の三角形はイベントが解除されたことを示します。
イベントマーカーの近くをクリックすると、イベント タブにその時間間隔のイベントリストが表示されます。タイプ 列には、アラートステータスが トリガー済み または 解除 で示され、カスタムイベントのイベントタイプが表示されます。イベントがいつ発生したか、アラートが解除されるまでにかかった時間(または継続中かどうか)、および、イベントをトリガーしたディテクターに関する情報が表示されます。
注釈
アラートとカスタムイベントが同じ時間間隔中に発生した場合、アラートマーカーのみが表示されます。ただし、カスタムイベントはイベントリストに表示されます。
イベントとメトリクス値の相関を見つけやすくするために、イベントマーカーとあわせて垂直線を表示することができます。この線は、イベントマーカーと同様に色分けされてチャート下部に表示されます。チャート上のマーカーに垂直線を追加するには、チャートオプション タブの イベントを線で表示 を選択します。
注釈
また、ダッシュボードに表示されるチャートに、イベントマーカーをオーバーレイ することもできます。
カスタムイベントを手動で追加する 🔗
チャートに手動でカスタムイベントを追加するには、イベント タブを選択します。チャートに表示されている時間にイベントを追加したい場合は、チャートを選択して、その時間をピン留めします。
イベントリストにイベントが表示されている場合は、最後の列で 新規イベントの追加 アイコンを選択します。
リストにイベントがない場合は、新規イベントの追加 リンクを選択します。
時間をピン留めした場合は、その時間が イベントの作成 ダイアログボックスに表示されます。そうでない場合は、現在の時刻が表示されます。
イベントの作成 ダイアログボックスで、入力を開始すると選択可能なイベントタイプのリストが表示されます。または、新規イベントタイプを作成することもできます。
時間やその他に追加したい詳細を記入します。イベントの説明には、プレーンテキストだけでなく、Markdownも使用できます。
作成 をクリックして、選択したイベントタイプのイベントを生成します。
注釈
新しいイベントタイプを作成した場合、イベントタイプ(将来再利用可能)と、そのイベントタイプのインスタンスの両方を作成したことになります。
プロットエディター タブで、このイベントタイプの新しいイベントプロット線がチャートに表示されます。新しいイベントの時刻がチャートに表示されている場合、チャートには新しいイベントが表示され、現在のチャートの時間範囲で発生したこのイベントタイプの他のすべてのイベントも表示されます。
イベント情報の表示と管理 🔗
イベント タブでイベントを選択すると、イベントの詳細情報を見ることができます。イベントの通知が ミュート に設定されている場合は、その旨が表示されます。
カスタムイベントをクリックすると、そのイベントの編集や、削除予定のマーク付けができます。
編集と削除はカスタムイベントのみに適用され、ディテクターがアラートをトリガーしたときに生成されるイベントには適用されないことに注意してください。
プロットの基本オプションを設定する 🔗
シグナル線および 軸 タブで利用可能な機能を使用して、プロットの基本的なオプションをいくつか設定することができます。その他のオプションについては、プロット設定パネルでオプションを設定する を参照してください。
プロット線の可視性 🔗
プロット線の左端にある目のアイコンをクリックすると、チャート上のプロット線を表示または非表示にできます。このオプションは、テキストチャートおよびイベントフィードでは利用できません。ヒートマップを除くすべてのチャートタイプで、複数のプロット線を表示することができます。
注釈
単一値チャートで、複数のプロットが表示されている場合、チャート上の値は、プロットリストで最初に表示されるプロットを反映しています。
1本のみ残して他のすべてのプロット線を非表示にするには、表示したいプロット線の目のアイコンをaltクリック(またはoptionクリック)します。これは、チャートに複数のプロットが含まれていて、1つのプロットだけに集中したい場合に便利です。元の表示に戻すには、表示されているプロット線の目のアイコンをもう一度altクリックします。
すべてのプロット線を表示または非表示にするには、プロット線の上方にある目のアイコンをクリックし、すべて または なし を選択します。
プロット名 🔗
デフォルトでは、各プロットにはアルファベットの文字が割り当てられ、互いを区別できるようになっています。プロット名は、リストチャート、ディテクターシグナル、データテーブル タブなどに表示されるテキストを指定します。デフォルトでは、メトリクス名またはイベント名+適用された分析がプロット名になります。プロット名を変更するには、名前を選択して希望のテキストを入力します。
また、プロット名を使用して、類似するメトリクスやディメンションを表すプロットが異なる色で表示されるようにすることもできます。詳細については、メトリクス別に色分け を参照してください。
左右のY軸 🔗
デフォルトでは、チャート内のすべてのプロットは、チャートの左側に表示されるY軸の値を使用します。複数のプロットがある場合には、チャートの右側に値を表示する2つ目のY軸を使うと便利かもしれません。プロットの軸セレクターをクリックし、左 または 右 を選択します。折れ線グラフの場合、左のY軸を使ったプロットは実線で表示され、右のY軸のプロットは点線で表示されます。
注釈
面グラフまたは棒グラフで チャートの積み上げ オプションを使っている場合は、すべてのプロットで同じY軸を使う必要があります。
Y軸を2つ指定すると、チャートデータの見た目が大きく変わります。Splunk Observability Cloudは、データの表示性を高めるために、両方の軸の軸値を調整します。
単一のY軸を使うと、プロットの絶対値を比較することができます。
Y軸を2つ使うと、値のパターンを比較することができます。カスタムの プロットカラー を使用すると、チャートを読みやすくすることができます。
Y軸を2つ持つチャートのプロットにカーソルを合わせると、そのプロットで使用されていないY軸は薄い色で表示されるので、そのプロットに適用されているのはどのY軸の値かを簡単に確認することができます。
「軸」タブを使用する 🔗
Y軸のその他のオプションは、軸 タブで利用できます。このタブは、チャートのタイプが折れ線グラフ、面グラフ、カラムチャート、ヒストグラムのときに有効になります。左右のY軸 の両方を指定している場合は、各軸について同じオプションが表示されます。
ラベル 🔗
チャートの左側と右側に沿って垂直に表示したいテキストを指定します。
最小/最大値 🔗
デフォルトでは、Splunk Observability Cloudは、チャートウィンドウに表示されているプロットと、チャートオプション タブで チャートの積み上げ オプションが有効になっているかどうかに基づいて、Y軸の最小値と最大値を自動的に選択します。この動作をオーバーライドする値は、指定することができます。ここで値を設定すると、チャートオプション タブの Y軸にゼロを含める 設定が上書きされる場合があります。
高/低ウォーターマーク 🔗
ウォーターマークは一定の値で、指定したY軸値に直線として表示されます。右Y軸のウォーターマーク線は点線で表示されます。ウォーターマークラベルを指定すると、ウォーターマーク線の近くに表示されます。右Y軸のウォーターマークラベルは、チャートの右側に表示されます。
精度 🔗
軸の 精度 フィールドに数値を指定することで、Y軸の値に使用する桁数を選択できます。Splunk Observability Cloudで使用されるデフォルト値は3ですが、たとえば0.0004と0.0005のように、グラフにプロットされた値が非常に近い場合は、3桁では不十分なので、それに応じて軸の精度を上げる必要があります。
プロット設定パネルでオプションを設定する 🔗
プロット設定パネルを使用すると、シグナル線に対して設定できるオプションの他に、追加のオプションを設定することができます。このパネルを表示するには、プロット線の最後の列で プロットアクション メニュー( :strong:` )の隣にある ` プロットの設定 ⋯ アイコン(歯車)を選択します。
利用可能なオプションは、チャートの種類によって異なります。利用可能なすべてのオプションをサポートするチャートタイプはありません。
表示単位 🔗
チャートに表示する数値は、生の数値(ビットや秒など)から1秒あたりのトランザクション数や先月の売上総額(ドル)まで、何でも可能です。表示単位 オプションを使用すると、チャート上の数値が何を表しているのかを閲覧者が理解しやすくなり、また、数値の表示方法の制御が可能になります。メトリクスに関連する 単位を指定 (ビット、バイト、ミリ秒など)するか、カスタム を選択して、プレーンテキストのプレフィックスやサフィックス ($、per hour など)を入力することができます。
すべての表示単位は、以下のいずれかの操作を行った際に表示されます:
メトリクスの単位を指定する 🔗
サイズと時間のメトリクス(kb、Gb、ms、wなど)は、表示単位 ドロップダウンメニューから利用できます。指定した単位は、データテーブル タブ上で表示されたり、チャートにカーソルを合わせた際に表示されたりするだけでなく、そのメトリクスに関連付けられたY軸に表示され、必要に応じて自動的にスケーリングされます。例えば、秒単位で値を測定していて、値が10秒から2分の範囲にある場合、Y軸は20s、40s、1m、1.5m、2mのような増分で表示されます。
注釈
自動スケーリングが期待通りに機能するためには、同じY軸を共有するすべてのプロットのメトリクスは、同じ単位でなければなりません。複数のY軸を使用する方法については、「軸」タブを使用する を参照してください。
プレフィックスまたはサフィックスを追加する 🔗
メトリクスに関連付けられた実際の単位を指定するのとは異なり、プレフィックスとサフィックスは、チャートの表示を明確にするために追加するテキストフィールドです。これらは、プロット線上のメトリクスとの本質的な関係は持たず、自動的にスケーリングされません。
また、表示単位を使用すると、他の方法ではわからない情報を提供することもできます。
サフィックスを設定する際に、Scale 分析関数を適用すると便利な場合があります。例えば、値が秒単位で測定されているが、出力を分単位で表示したいという場合、値を60にスケールし、サフィックスを 毎秒 から 毎分 に変更します。また、 毎秒 の代わりに、/s や /秒 のような文字を使うこともできます。
視覚エフェクトのタイプ 🔗
グラフチャート の場合、プロットのデフォルトは、折れ線グラフ、面グラフ、カラムチャート、ヒストグラムなど、チャート全体に対して選択された形式の視覚エフェクトになります。例えば、カラムチャート上に作成された新しいプロットは、最初は追加のカラムとして表示されます。しかし、この設定を変更して、プロットがチャートのデフォルトとは異なるチャート表示タイプを使用するようにすることができます。
例えば、チャートが面グラフであれば、そのチャートのプロットのひとつを折れ線として表示することができます。
視覚エフェクトのタイプを指定すると、プロット線上の小さなアイコンが、選択されたタイプを示します。
イベントの色 🔗
チャート上で カスタムイベント に使用する色を選択できます。色見本をクリックして、その色をイベントに適用します。色見本には白いチェックマークが表示されます。マークの付いた色をクリックすると選択が解除され、Splunk Observability Cloudがデフォルトの色をそのイベントに再度適用します。
色を指定すると、プロット線上の小さなアイコンが、選択された色を示します。
プロットの色 🔗
Splunk Observability Cloudは、異なるディメンション値を持つメトリクスまたは時系列を一目で区別できるように、プロットの色を自動的に選択します。この選択は、手動で上書きできます。
色見本をクリックして、その色を現在のプロットに適用します。色見本には白いチェックマークが表示されます。マークの付いた色をクリックすると選択が解除され、Splunk Observability Cloudがデフォルトの色をそのプロットに再度適用します。
色を指定すると、プロット線上の小さなアイコンが、選択された色を示します。
また、プロット名を使用して、類似するメトリクスやディメンションを表すプロットが異なる色で表示されるようにすることもできます。詳細については、メトリクス別に色分け を参照してください。
値別に色分け のチャートオプションを使用して閾値を設定している場合は、ここで指定した色は無視されるという点に注意してください。
ロールアップ 🔗
ロールアップ はデータを要約する方法であり、Splunk Observability Cloudはこれを使用して、結果の精度を損なうことなく、より長い時間範囲のチャートをレンダリングしたり、計算を迅速に実行したりすることができます。選択したメトリクスが ゲージ、カウンター、累積カウンター のいずれであるかによって、Splunk Observability Cloudが使用するデフォルトのロールアップが異なります。場合によっては、デフォルト以外のロールアップを使用したいこともあるでしょう。詳細については、ロールアップ を参照してください。
外挿ポリシーと外挿の最大数(データポイントの欠落) 🔗
データポイントが予定時間内にSplunk Observability Cloudに送信されなかった場合、デフォルトではNULLとみなされ、すべてのデータ計算から除外されます。メトリクスの種類やロールアップによっては、NULL以外の値を指定したい場合があるでしょう。選択した外挿ポリシーを適用する連続した外挿データ ポイントの数を指定することもできます。
詳細は 欠落したデータポイント を参照してください。
エイリアシング 🔗
プロットが Graphite スタイルのワイルドカードを使用している場合、ノードのエイリアシングのオプションが 視覚エフェクト オプションの下に表示されます。
ノードのプレース値に対応する、使用したいエイリアスを入力します。これを簡単に行えるようにするため、Splunk Observability Cloudは当該のノードに対応するディメンション値の例を提供しています。
詳細は Graphite形式のメトリクスのノードエイリアシング を参照してください。
チャート内のプロットの順序を設定する 🔗
プロットの順序は、チャートの積み上げ オプションを使用している面グラフまたはカラムチャートでのデータの表示方法を決定します。表示される値は、チャート内のプロットの順序を反映します。例えば、チャートに3つのプロット(A、 B、 C)がある場合、値は、一番上がA、続いてB、Cの順に積み上げられます。
プロットの順序を変更したい場合は、プロットにカーソルを合わせると、右側に「ドラッグ」アイコンが表示されます。プロットを好きな場所にドラッグしてください。
プロットを移動すると、アルファベット順が解除されます。実際のプロットの順序を維持したまま、プロットに割り当てられた文字をアルファベット順に戻すには、チャートアクション メニュー(⋯ )から、プロットの再配列 を選択します。チャート内の数式はすべて、プロットの文字の変更を反映して更新されます。
遅延または欠落したデータポイントの処理 🔗
Splunk Observability Cloudに送信されるデータポイントは、遅延する場合や、まったく到着しない場合があります。Splunk Observability Cloudでデータポイントが遅延しているかどうかを判断する方法や、プロット線内での欠落したデータポイントの外挿方法のパラメータを設定できます。
遅延したデータポイント 🔗
一般的な基準として、ストリーミング分析システムを使用する場合、データポイントは「オンタイム」であればあるほど好ましいものです。言い換えれば、論理時間(測定が実行された時間など、データポイントに付随するタイムスタンプ)と実測時間(データポイントがSplunk Observability Cloudに到着した時間)の間のΔは、可能な限り小さくする必要があります。
ストリーミング分析システムにおける遅延データポイントの影響は、以下の例を用いて説明することができます:
10個のサーバーのCPU使用率メトリクスの平均を表示するチャートがあり、そのうち9つのサーバーが10秒ごとにレポートを実行していて、これらはオンタイムです。1つのサーバーが何らかの理由で渋滞しているために遅延しており、そのデータ送信の実測時間と論理時間に10分の差があります。そのマシンが10秒に1つのデータポイントを送信していても、それらのデータポイントはすべて10‑分遅れて到着します。
最大遅延 🔗
最大遅延 パラメータは、Splunk Observability Cloudの分析エンジンが特定のチャートでデータの到着を待機する最大時間を指定します。たとえば、 最大遅延 が5分に設定されている場合、t という時刻でタイムスタンプが付いたデータに対して、t から5分間のみ計算を待機します。CPU使用率チャートの最新部分は現在の時刻から5分以上遅れることはなく、遅延したデータは、ストリーミングチャート内で平均を計算する目的には使用されません。データが到着した際には、適切に保存され、平均の再計算の際に考慮されます。このように、 最大遅延 を使用すると、正確さよりもタイムリーさを優先させることができます。
最大遅延 がデフォルトの 自動 に設定されている場合、時系列のレポートの適時性をサンプリングして、適切な値を決定します。この値は、大幅な遅延を除外した後に観測された最大の遅延を採用することで、すべてのデータではないにしても、ほとんどのデータに対応するように選択されます。
チャートオプション タブで 最大遅延の値 を選択すると、チャートのデフォルト設定を恒久的にオーバーライドできます。デフォルトを一時的にオーバーライドするには、そのチャートを含むダッシュボードで 最大遅延のオーバーライド を設定します。上限は15 分です。
欠落したデータポイント 🔗
時系列データは、収集ポリシー、障害、またはネットワークの状態によって疎になることがあります。計算されたリストに期待した要素が含まれていなかったり、チャートに欠落があるように見える場合は、データポイントがSplunk Observability Cloudによって受信されなかったことが原因の場合が多くあります。
By default, Splunk Observability Cloud inserts a NULL value for any data point that is missing for a certain period. In certain situations, you might want to use a different policy for one or more plots in a chart. The policy you choose should complement the metric and rollup type. For example, a counter metric with a sum rollup is probably best served with an Extrapolation Policy value of Zero, whereas a Last Value extrapolation might be better for a gauge with a mean rollup.
外挿ポリシー |
動作 |
|---|---|
Null(デフォルトのポリシー) |
欠落したデータポイントにNULL値を挿入する |
ゼロ |
欠落したデータポイントにゼロ(0)値を挿入する |
最終値 |
次のデータポイントが到着するまで、最後に報告された値を使用する |
最終値 の外挿は、最初の実際の値より前の値を外挿することはなく、また、長期間報告されていないメトリクスのような非アクティブな時系列の値を外挿することもありません。
さらに、受信した最新のデータポイントに基づいて視覚化されるチャート(リストチャート、単一値チャート、ヒートマップチャート)では、外挿値は使用されません。つまり、これらのチャートタイプでは、実際の値のみが表され、外挿値は表されません。リストチャートと単一値チャートでは、データポイントが欠落している場合、実際の値を受信するまで、チャートにはNULLのインジケーターが表示されます。
外挿の最大数 の値は、選択したポリシーを適用する連続したデータポイントの数を示します。デフォルト値の 無限 は、外挿ポリシーが無限に適用されることを意味します。
時系列の 外挿ポリシー および 外挿の最大数 を指定するには、そのプロットの プロット設定パネル を使用します。
SignalFlowの操作 🔗
SignalFlowを使用した受信データの分析 で説明したように、Splunk Observability Cloudプラットフォームの中核は、SignalFlowという柔軟な言語で記述された計算を実行するストリーミングのリアルタイム分析エンジンです。ストリームとはデータに対するリクエストであり、指定した別のストリームを参照する式のようなものです。
ストリームは、グラフィカルプロットビルダーUIでプロット線として表されます。プロットエディター タブで SignalFlowの表示 を選択すると、チャートの土台となっているSignalFlowを表示および編集できます。
プロットラベルを表示するサイドバーを表示または非表示にするには、右端のサイドバー/キャレットアイコンを選択します。
サイドバーを表示しているときにプロット設定オプションを表示または非表示にするには、プロットラベルまたは設定アイコン(歯車)を選択します。
グラフィカルプロットビルダービューに戻るには、ビルダーを表示 を選択します。
デフォルトでは、チャートビルダーでチャートを開くと、Splunk Observability Cloudはまずグラフィカルプロットビルダーモードでのレンダリングを試みます。チャートがグラフィカルプロットビルダーで描写できない場合にのみ、チャートビルダーはSignalFlowモードで開きます。
SignalFlowからグラフィカルプロットビルダーにチャートを変換すると、SignalFlowのフォーマットが変更される場合があります。例えば、余分なスペースが削除されたり、括弧が追加されたりします。
チャートの動力となっているSignalFlowを編集する場合、またはSignalFlowを記述してチャートを作成する場合、グラフィカルプロットビルダーモードでもそのチャートを編集できるようにするため、以下のガイドラインに従う必要があります。チャート内のいずれかのSignalFlow要素がこれらのガイドラインに従っていない場合、ビルダーを表示 を選択してグラフィカルプロットビルダーモードに変換しようとすると、エラーが発生します。
変換可能なSignalFlowはストリームのみで構成し、各ストリームはAからZまでの大文字に割り当てる。 🔗
各ストリームをAからZまでの固有の大文字に割り当てます。単一の割り当て内で複数のデータ要求を行うと、プロットビルダーUIには変換できません。式タイプのロジックには、変数と数値のみを含めることができます。
変換される |
A = data('cpu.utilization').(label='A')
B = data('cpu.utilization').publish(label='B')
C = (A/B+10).publish(label='C')
|
変換されない |
A = data('cpu.utilization').publish(label='A')
B = (A/data('cpu.utilization')+10).publish(label='B')
|
各ストリームには、対応する publish ステートメントを最大1つまで含めることができる 🔗
publish ステートメントは、チャート内にデータを表示するために使用されます。 publish ステートメントはラベルもサポートしており、ラベルはUIでプロットのスタイリングや命名に使用されます。Splunk Observability Cloudでは、各 publish ステートメントにラベルを含めること、およびラベルがストリームの変数割り当てと一致することを推奨しています。 publish ステートメントにラベルがない場合、グラフィカルプロットビルダーモードに変換すると、任意のラベルが割り当てられます。
publish が存在する場合は、ストリームのステートメントの最後のメソッドである必要があります。1つのストリームにつき2つ以上の publish は許可されていません。
変換される |
A = data('cpu.utilization').publish(label='A')
B = (A).mean().publish(label='avg')
|
変換されない |
A = data('cpu.utilization').publish().mean().publish(label='avg')
|
プロットビルダーモードでアクセスできない機能や関数がチャートに含まれている場合は、SignalFlowからプロットビルダーモードへの変換はできない 🔗
SignalFlowで指定できるがプロットビルダーモードでは表現できない機能の例は、以下の通りです:
コメント
プロットビルダーからアクセスできないSignalFlow関数
ループ、インポート、変数などのプログラミング構成要素
大文字に割り当てられたストリーム以外の変数割り当て。つまり、ストリーム関数の引数として可変定数を使用することはできません。
変換される |
A = data('cpu.utilization', filter=filter('aws_availability_zone', 'us-east-1a')).publish(label='A')
|
変換されない |
myfancyfilter=filter('aws_availability_zone', 'us-east-1a')
A = data('cpu.utilization', filter=myfancyfilter).publish(label='A')
|
フィルターブロックに OR 条件が含まれる場合、すべてのオプションはフィルターステートメントの中で定義する 🔗
これは、グラフィカルプロットビルダーによるフィルターの表現方法と一致します。
変換される |
filter("aws_availability_zone", "us-east-1a", "us-west-1a")
filter("aws_availability_zone", "us-east-1a", "us-west-1a") AND filter("aws_instance_type", "i3.2xlarge")
|
変換されない |
filter("aws_availability_zone", "us-east-1a") OR filter("aws_availability_zone", "us-west-1a")
filter("aws_availability_zone", "us-east-1a") OR filter("aws_instance_type", "i3.2xlarge")
|
プロットのGraphiteオプション 🔗
Graphite形式のワイルドカードの使用 🔗
Graphiteユーザーの多くはGraphiteの ワイルドカード使用規則 に慣れており、希望するカスタムチャートを生成するためにこれを積極的に使用しています。Splunk Observability Cloudでは、Splunk Observability Cloudのチャートビルダーのシグナル(メトリクスまたはイベント)フィールドにおいて、アスタリスク、文字リストと範囲、値リストなどを含む、これらの規則の使用をサポートしています。ただし、Graphiteのワイルドカードと通常のワイルドカードの動作にはいくつかの違いがあります。
例えば、通常のワイルドカードクエリの場合、jvm.* は、jvm. で始まるものなら、たとえ名前内の後続部分に他のドットが含まれていてもすべてを返します。例えば、jvm.* 、jvm.foo、jvm.foo.bar、jvm.foo.bar.foo はすべて返されます。
Graphiteのワイルドカードの場合、jvm.* は、名前内の後続部分に他のドットがないものだけを返します。例えば、jvm.* の場合、jvm.foo は返されますが、jvm.foo.bar と jvm.foo.bar.foo は返されません。
Graphiteのワイルドカードを使用するには、適切なGraphite構文をシグナルフィールドに入力し、Graphiteのワイルドカードオプションを選択します。メトリクスサイドバーを使用している場合は、2つのドット(.)文字の間にアスタリスクを含む検索用語を入力し、検索結果リストから Graphiteワイルドカード を選択します。
Graphiteのワイルドカードオプションが選択されると、ディメンションによるプロットのフィルタリング機能が削除されます。Graphiteの命名規則は、ディメンション値をドットで区切られた文字列にカプセル化し、ワイルドカードの使用によって実質的に選択されます。
Graphite形式のメトリクスのノードエイリアシング 🔗
Splunk Observability Cloudの最も強力な機能の1つは、ディメンションを使用してメトリクスをフィルタリングしたり、グループ別の‑集計を実行したりすることです。例えば、datacenter:snc に一致する時系列をフィルタリングまたは除外したり、複数のホストにわたって、ロール別にグループ化して cpu.total.user メトリクスの平均値を計算したりすることができます。
Graphiteでは、メトリクス名には通常、snc.role1.server3.cpu.total.user のように複数のドットで区切られたディメンション値が含まれます。データセンター、ロール、ホストなどのディメンションキーは暗黙的です。Graphiteのメトリクス名内のディメンションを、Splunk Observability Cloudのネイティブディメンションであるかのようにして使用するには、作成中のチャートに臨機応変なディメンションエイリアシングを適用します。これにより、Graphiteのメトリクス名内のノードをSplunk Observability Cloudのディメンションであるかのように扱うことができ、暗黙的なディメンションキーにエイリアスを割り当てて、使いやすく、理解しやすくすることもできます。
エイリアシングを適用する前に、ノードのplace valueをディメンション値またはプロパティ値として使用できます。エイリアシングを行った後は、分析関数の中でノードのplace valueの代わりにノードエイリアスを使用できます。このエイリアスは、データテーブル でも使用されます。
エイリアスの適用方法については、エイリアシング を参照してください。
次に行うこと 🔗
1つまたは複数のシグナルを監視するためのチャートを作成したら、チャートの設定方法に関するさまざまなオプションを調整するといいでしょう。詳しくは、チャートビルダーのチャートオプション および チャートを他のユーザーと共有する を参照してください。
便利なチャートをいくつか作成し設定したら、追加の分析関数を使用してチャートの内容をデータから情報へと拡張する方法を学びましょう。詳細は チャートの分析によってインサイトを取得する を参照してください。
また、チャートに基づいてディテクターを作成し、特定の閾値が満たされたときにアラートをトリガーすることもできます。詳細は チャートからディテクターを作成する を参照してください。一度作成すると、ディテクターをチャートにリンク して、チャート上にディテクターのアラートステータスを表示することができます。
送信しているメトリクスデータがSplunk Observability Cloudのサービスに届かない場合や遅延する場合があることに注意してください。Splunk Observability Cloudはリアルタイムでデータの視覚エフェクトと分析をストリーミングしているため、Splunk Observability Cloudにこれらの欠落や遅延をどのように解釈させるかを決定する必要があります。詳細については、遅延したデータポイント および 欠落したデータポイント を参照してください。