チャートのデータ解像度とロールアップ 🔗
Splunk Observability Cloudには、2種類の解像度があります:
チャートの解像度:チャート上にデータポイントが表示される間隔
データ収集間隔:サーバーまたはアプリケーションがSplunk Observability Cloudにデータポイントを送信する間隔。この間隔がデータのネイティブ解像度です。ネイティブ解像度の詳細については、Splunk Infrastructure Monitoring での解像度とデータ保持 を参照してください。
チャートデータの解像度 🔗
チャートをレンダリングする際、Splunk Observability Cloudはデフォルトでチャートの時間範囲に基づく解像度による表示を行います。一般的に、時間範囲が短いほど解像度は細かくなり、チャートの解像度がネイティブ解像度と同じになる可能性が高くなります。逆に、時間範囲が長いほど解像度は粗くなり、チャートの解像度がネイティブ解像度と異なる可能性が高くなります。長い時間範囲のチャートでは、Splunk Observability Cloudは、ロールアップ を使用することにより、表示されるポイントが実際のデータポイントを正確に反映するようにします。
チャートの解像度は、「チャートビルダー」または、そのチャートを含むダッシュボード上のチャートタイトルの横に表示されます。チャートの解像度を上げたり下げたりするには、チャートまたはダッシュボードの上部にあるチャート解像度セレクターを使用します。詳しくは、チャートの表示解像度 を参照してください。
異なる解像度のプロット 🔗
チャートは複数のプロットを含むことができ、それぞれのプロットは異なるメトリック時系列(MTS)を表します。各MTSは独自の解像度を持つことができます。Splunk Observability Cloudはチャートごとに1つの解像度を選択し、複数のプロットではチャートは最も粗い解像度を使用します。この解像度を使用すると、プロットや計算が容易になるようにデータポイントが並びます。
例えば、AWS CloudWatchからのメトリクスは通常1分または5分の解像度を持ちますが、Splunk Distribution of OpenTelemetry Collector(現在は廃止されたSignalFx Smart Agent)を使用して報告されたメトリクスは通常10秒の解像度を持ちます。1つのチャートに、AWS Cloudwatchメトリクス(5分の解像度)を含むプロットと、Collector(Smart Agent)のメトリクスを含む別のプロットがある場合、チャートの解像度は常に5分以上になります。
最小のチャート解像度 🔗
「チャートオプション」タブでは、チャートの最小解像度を選択できます。以下はオプションのリストで、括弧内は、オプションをUIで見た場合の表示です:
自動
1秒(1s)
5秒(5s)
10秒(10s)
30秒(30s)
1分(1m)
1時間(1h)
選択した値は、Splunk Observability Cloudがチャートに表示されるデータポイント値をロールアップするために使用する最小間隔を指定します。
チャートの解像度とデータの保持 🔗
チャートのメトリック時系列の解像度は、その時系列が存在した時間の長さに影響されます。この時間(経過期間)は、時系列のデータ保持ポリシーを制御します。詳細は、Splunk Infrastructure Monitoring での解像度とデータ保持 を参照してください。
ロールアップ 🔗
rollup は、あるMTSのある期間にわたるすべてのデータポイントを取得し単一のデータポイントを出力する統計関数です。Splunk Observability Cloudは、ストレージからデータポイントを取得した後、分析関数を適用する前に、ロールアップを適用します。
チャートにおいては、あるMTSのロールアップされたデータポイントは、そのMTSのネイティブ解像度よりも粗いチャート解像度で表示されます。この粗い解像度は、Splunk Observability Cloudがデータの妥当な表示を作成するのに役立ちます。
例えば、1週間の時間範囲でチャートを作成するとします。このチャートに、ネイティブ解像度が30秒のMTSをプロットします。Splunk Observability CloudがこのMTSにロールアップを適用しない場合、プロットには20,160個のデータポイントが含まれます(1分あたり2個、1時間あたり120個、1日あたり2,880個、1週間あたり20,160個)。この数は、一般的な30インチモニターで使用可能なピクセル数の10倍です。
このプロットを表示可能なサイズに縮小するために、Splunk Observability CloudはMTSにロールアップを適用します。すると、チャートに表示される各データポイントは、このMTSの実際のデータポイントの要約になります。
Splunk Observability Cloudは、常にロールアップを適用するわけではありません。上記と同じMTSに対して15分の時間範囲でチャートを作成する場合、プロットには30個のデータポイントしか含まれません。Splunk Observability CloudはこのMTSをロールアップする必要がないと自動的に判断し、チャートの解像度は、MTSのデータポイントのネイティブ解像度と同じになります。
チャート内のプロットに対して、Splunk Observability Cloudは、チャートの時間窓によって画面におさまらないほど多くのデータポイントを表示する必要が生じると判断した場合に、データをロールアップします。
また、Splunk Observability Cloudは、長期間の保存の目的でもデータをロールアップします。詳細は ロールアップ、解像度、データ保持ポリシー を参照してください。
ロールアップの種類 🔗
Splunk Observability Cloudには、さまざまな種類のロールアップがあります:
種類 |
効果 |
|---|---|
|
データポイントを1つのデータポイントに要約します。要約されたデータポイントは、元のデータポイントのネイティブ解像度よりも粗いチャート解像度を持ちます。 例えば、受信データポイントのネイティブ解像度が10秒で、チャートの解像度が1日の場合、Splunk Observability Cloudは、データを1日の解像度にあわせてロールアップします。 チャートの解像度が受信データのネイティブ解像度と同じ場合は、これらのロールアップは何の効果も持ちません。 |
毎秒カウント数(レート) |
直近の期間におけるイベントまたは発生のカウントを表すデータポイントを、1秒あたりのカウントに変換します。このロールアップは、異なる期間のカウンターメトリクスの比較に役立ちます。例えば、2つのメトリック時系列があり、一方は過去10秒間のカウントを含み、もう一方は過去5秒間のカウントを含む場合、「レ ート」ロールアップを使用すると、この2つのMTSを比較できます。 |
Delta |
累積カウンターの値の変化を計算します。Deltaは、現在の間隔の受信データと前の間隔のデータとの差であるデータポイントを返します。 Deltaロールアップは、累積カウンターメトリクスの傾向を見るのに役立ちます。累積カウントMTSの線プロットは、常に負ではない傾きを持ちます。このMTSをDeltaロールアップした場合の線プロットは、累積カウントの増加がより緩やかな場合に負の傾きを示しま す。 |
ラグ(Lag)およびカウント(Count) |
|
チャートを作成する際、デフォルトのロールアップタイプを受け入れるか、別のロールアップタイプを選択して、長期間の時間窓にわたって粗い解像度のデータを表示する際のチャートの外観をコントロールすることができます。
チャートで使用されているロールアップを変更するには、プロット設定パネルでオプションを設定する を参照してください。
Splunk Observability Cloudには、以下のロールアップ関数があります:
Sum ( カウンター メトリクスのデフォルト):MTSの報告間隔内の全データポイントの合計を返します。
Average ( ゲージ メトリクスのデフォルト):MTSの報告間隔内の全データポイントの平均値を返します。
Min:MTSの報告間隔内のデータポイントの最小値を返します。
Count:MTSの報告間隔内のデータポイントの総数を返します。
Max:MTSの報告間隔内のデータポイントの最大値を返します。
Latest:MTSの報告間隔内で最後に受信したデータポイントの値を返します。
Lag:各データポイントのタイムスタンプとSplunk Observability Cloudがそれを受信した時間の差の平均時間をミリ秒単位で返します。
Rate:
SumとCount 🔗
Sum は、報告間隔内のすべてのMTSの値を合計します。Count は、個別のMTSの数を示します。目的のディメンジョンのみに異なる4つのMTSを持つデータがある場合:
48 CUSTOM
28 AUTO_DETECT
17 SLO_ALERTING
2 NAMED_TOKEN
これらを足すと(sum)、95(48+28+17+2)になります。これをカウントすると(count)、個別のMTSの数は4であるため、4となります。purpose=CUSTOM というフィルターを追加すると、sumは48、countは1となります。
チャートのプロットにおけるロールアップの影響を理解する 🔗
チャートのデータを解釈する際には、以下の要素を考慮します:
チャートの解像度。チャートデータの解像度 を参照してください。
ロールアップの設定
Splunk Observability Cloudがデータにロールアップを適用しているかどうか
自分がデータに他の分析関数を適用しているかどうか
例:分析なしのロールアップ 🔗
以下のテーブルは、チャートにおけるデータの解釈の例です。「解釈」の列は、メトリクスの本来の意味、ロールアップの設定、およびチャートの解像度の説明です。
メトリクス |
ロールアップ |
チャートの解像度 |
解釈 |
|---|---|---|---|
|
平均(Average) |
10s |
各MTSの10秒間の平均CPU使用率。 |
|
Rate/sec |
1h |
1時間の間隔における1秒間ごとの送信ビットの平均レート |
|
Delta |
2m |
2分間の送信エラー数 |
例:分析ありのロールアップ 🔗
ロールアップとSignalFlowの分析関数は似ていますが、目的が異なり、チャートに与える影響も異なります。分析関数をチャートに適用すると、チャート内のデータの意味が変わります。ロールアップ関数は常に最初にデータに適用され、Splunk Observability Cloudが分析関数を適用する前にデータに影響します。
注釈
「Average」ロールアップタイプと「Mean」分析関数は、どちらも平均を計算するものですが、名前が異なります。
ロールアップと分析関数の両方を持つチャートを解釈する場合は、以下に注意してください:
データポイントが持つ本来の意味を考える
ロールアップと解像度の影響を考える
分析関数の影響を考える。分析集約関数はチャート内のすべてのMTSに適用されますが、ロールアップは各MTSに適用されます。例:
メトリクス |
ロールアップ |
分析関数(集計) |
チャートの解像度 |
解釈 |
|---|---|---|---|---|
|
平均(Average) |
なし |
1m |
各ホストで観察された1分間のCPU使用率の平均。ホストが50台ある場合、チャートには50のMTSが含まれ、50の別々のプロットが表示されます。各プロットの各データポイントは、直前1分間のMTSの |
|
平均(Average) |
Mean |
1m |
すべてのホストで観察された1分間のCPU使用率の平均。AverageロールアップとMean分析関数が組み合わさり、平均値の平均となります。チャートには1つのプロットが含まれ、各データポイントは、直前1分間に観察されたすべてのMTSの平均を表します。 |
|
平均(Average) |
最大(Max) |
1m |
すべてのホストで観察された1分間のCPU使用率の最大値。AverageロールアップとMaximum分析関数が組み合わさり、平均値の最大値となります。チャートには1つのプロットが含まれ、各データポイントは、直前1分間に観察されたMTSのすべての平均値の最大値を表します。このプロットの解釈を、次の行に示すMaxロールアップおよびMax分析関数の場合のプロットと比較してください。 |
|
最大(Max) |
最大(Max) |
1m |
すべてのホストで観察された1分間のCPU使用率値の最大値。MaximumロールアップとMaximum分析関数が組み合わさり、最大値の最大値となります。チャートには1つのプロットが含まれ、各データポイントは、直前1分間に観察されたMTSのすべての最大値の最大値を表します。 |
集約関数と変換関数の違いについては、データの集約と変換 を参照してください。
例:ロールアップと解像度 🔗
次の表は、ユーザーがロールアップと解像度の組み合わせを使用し、Splunk Observability Cloudがロールアップを適用したときに表示されるプロットの例です。
メトリクス |
種類 |
ロールアップ |
解像度 |
解釈 |
|---|---|---|---|---|
|
ゲージ |
平均(Average) |
10s |
10秒間の平均CPU使用率(%) |
|
累積カウンター |
Delta |
1m |
1分間の送信ビット/秒の平均レート |
|
累積カウンター |
Delta |
2m |
2分間に発生した送信エラーの総数 |
|
Count |
平均(Average) |
1h |
1時間の平均ログイン成功数 |
|
Count |
Sum |
1h |
1時間のログイン成功総数 |
ロールアップと分析関数の相互作用 🔗
ロールアップと分析関数は、どちらもデータに対して統計分析を実行する手段であるため、同じような結果が得られます。ただし両者がチャートに与える影響は異なり、Splunk Observability Cloudは、両者を異なる目的のタスクに使用します。また、ロールアップの中には、SumやMaxのように、分析関数と同じ名前を持つものもあります。
以下のテーブルは、ロールアップと分析関数の違いについて説明したものです:
ロールアップ |
分析関数 |
|
|---|---|---|
使用方法 |
ロールアップは、同じMTSからのデータポイントを、Splunk Observability Cloudが表示または保存する1つのデータポイントにまとめます。 |
分析関数は、データポイントに対して統計、変換、組み合わせ、選択、集計などの計算を実行します。結果として得られるデータポイントの数は、関数によって異なります。 |
数 |
Splunk Observability Cloudのロールアップの種類は10個未満です。 |
Splunk Observability Cloudの分析関数の種類は20を超えます。 |
必要条件 |
ユーザーは、チャートでどのロールアップを使用するかのみ決定できます。Splunk Observability Cloudは、必要に応じてそのロールアップを適用します。 |
ユーザーは、データに対して分析関数を使うかどうかを決定できます。 |
演算の順序 |
Splunk Observability Cloudがロールアップを適用する必要がある場合、そのロールアップは常に、ユーザーが指定した分析関数より前にチャートに適用されます。 |
Splunk Observability Cloudが分析関数をチャートに適用する順序は、ユーザーが決定します。 |
タイミング |
Splunk Observability Cloudは、必要なチャート解像度に応じて自動的にロールアップを適用します。 |
Splunk Observability Cloudは、チャートの解像度に関係なく常に分析関数を適用します。 |
目に見える影響 |
ほとんどの場合、チャートの時間範囲を変更するまでは、ロールアップの影響は目に見えません。時間範囲を長くすると、Splunk Observability Cloudがロールアップを適用する可能性があります。時間範囲を短くすると、Splunk Observability Cloudがデータをネイティブ解像度で表示できる場合は、Splunk Observability Cloudがロールアップを削除する可能性があります。 |
分析関数を適用すると、その影響はすぐにチャートで確認できます。 |
ロールアップ、解像度、分析関数がチャートデータに与える影響 🔗
以下のテーブルは、ロールアップ、解像度、分析集計関数のいくつかの組み合わせの結果を示しています。これらの例を参考にして、必要な情報を含むチャートの作成に役立ててください。
注釈
「Average」ロールアップタイプと「Mean」分析関数は、名前は異なりますが、両方同じタイプの計算を実行します。
メトリクス |
種類 |
ロールアップ |
集計分析関数 |
解像度 |
データポイントの意味 |
|---|---|---|---|---|---|
|
ゲージ |
平均(Average) |
Mean |
1h |
1時間あたりの平均CPU使用率 |
|
ゲージ |
平均(Average) |
最大(Max) |
1h |
1時間あたりの平均CPU使用率の最高値 |
|
ゲージ |
最大(Max) |
最大(Max) |
1h |
1時間あたりのCPU使用率の最大値 |
|
カウンター |
Rate/sec |
Mean |
1h |
1時間の平均リクエストレート/秒 |
|
カウンター |
Rate/sec |
最大(Max) |
1h |
1時間の平均リクエストレート/秒の最高値 |
|
カウンター |
Sum |
Sum |
1h |
1時間あたりの総リクエスト数 |
|
カウンター |
Sum |
最大(Max) |
1h |
1時間あたりのリクエスト総数の最高値 |