Docs » Splunk Infrastructure Monitoring のメトリクス パイプライン管理 » Use aggregation rules to control your data volume

Use aggregation rules to control your data volume 🔗

Available in Enterprise Edition. For more information, see Subscription types, expansions, renewals, and terminations.

Data you send from your services to Splunk Observability Cloud can have high cardinality. Instead of adjusting how you send in your data before you send it, aggregation lets you summarize your data in Splunk Observability Cloud based on the dimensions you consider important.

See the following diagram to understand how aggregation works:

flowchart LR accTitle: Data aggregation diagram accDescr: Metrics pipeline management (MPM) receives raw incoming metric time series (MTS). You choose an MTS to aggregate, and perform the aggregation, then you choose whether to keep or drop the raw MTS. MPM keeps the aggregated MTS and any raw MTS that you chose to keep. Raw[(Incoming raw MTS)] ---|MPM|ChooseDimensions{"`Choose MTS to aggregate`"} ---|Perform aggregation|CreateNew("`New aggregated MTS with rolled-up metrics`") ---|Keep or drop raw MTS|OriginalMTS[(Kept MTS and new MTS)]

保持する特定のディメンションを選択することで、データポイントをより少ないディメンションの新しいメトリクスに集約し、重要なディメンションの特定のビューを作成することができます。すべてのディメンションにまたがるメトリクスを表示する必要がない場合は、より簡素化されたデータの集中的なビューを得ることができます。

When you select specific dimensions, metrics pipeline management generates a new metric. The system creates new MTS based on the dimensions you select and rolls up data points for each MTS. By default, aggregation rules roll up the data points into the new MTS using sum, min, max, count, delta, avg, and latest functions.

新しい集約された MTS は、Splunk Observability Cloud の他の MTS と同じように使用できます。

How is MPM aggregation different from post-ingestion aggregation at query time? 🔗

When you configure charts or detectors, you can aggregate your data using analytic functions, such as sum, and then group your data by specific dimensions, such as sum by region. This aggregation occurs after Splunk Observability Cloud has stored your raw MTS, so you still pay for storing the data.

メトリクス パイプライン管理を使用すると、MTS を保存しながら集計し、集計されたメトリクスのみを保持できます。データポイントごとに保存するディメンションが少なくなり、メトリクス パイプライン管理によってメトリクス値がロールアップされるため、ストレージコストを削減できます。

🔗

You send a metric called http.server.duration for a containerized workload using Splunk Infrastructure Monitoring:

  • Your workload has 10 endpoints, 20 regions, 5 services, and 10,000 containers.

  • Each of the 5 services has 10,000 containers and 10 endpoints.

データはコンテナIDレベルで入ってきており、10(エンドポイント)*5(サービス)*20(リージョン)*10,000(コンテナ)=1,000,000 MTSを生成しています。

1つまたは複数のディメンションを集約することで、メトリクスのカーディナリティを削減できます。

1つのディメンションを使って集計する 🔗

シナリオ:データのソース領域にのみ関心がある。

この場合、region ディメンションでデータをグループ化する集約ルールを作成できます。集約されたメトリクスでは、他のすべてのディメンションが削除され、ルールに基づく region ディメンションのみが保持されます。

There are only 20 different values for region, so Splunk Observability Cloud only ingests 20 MTS.

複数のディメンションを使用した集計 🔗

Scenario: You want to continue monitoring endpoints, regions, and services for your data, but don’t need to monitor container IDs.

この場合、保持したいディメンションでデータをグループ化する集約ルールを作成できます。集約されたメトリクスでは、container_id ディメンションが削除され、ルールに基 づいて、endpointregionservice が保持されます。

新しい測定ボリュームは、10エンドポイント x 20リージョン x 5サービス = 1,000 MTS です。

MTS集計ロールアップ期間 🔗

システムから定期的にデータポイントが送信され ているが、その周期が10秒より長い場合、MTS 集計の結果は期待したものと異なる可能性があります。

For example, suppose your systems generate data points every 5 seconds. Two successive data points have timestamps that differ by 5 seconds. If your systems immediately transmit the points to Splunk Observability Cloud, the system ingests two data points every 10 seconds. Metrics pipeline management can roll up the two data points into one aggregated data point with a resolution of 10 seconds, which is the result you expect.

If you are sending data points, but they don’t always arrive with the same frequency, Splunk Observability Cloud might receive two data points in the first 10 seconds, then twelve data points in the next 10 seconds. In both cases, metrics pipeline management rolls up the raw points into a single aggregated data point.

また、毎秒データポイントを送信し、受信データポイントの解像度を維持したい場合は、MTS集計を使用しないでください。

潜在的な問題 🔗

未加工のデータポイントが作成されたときにシステムが追加するタイムスタンプと、データポイントを集計するときにシステムが使用する時間の違いは、次のいずれかの問題を引き起こす可能性があります:

  • The starting and ending time of aggregated MTS might shift. A data point generated by your server might come in some time after its creation time as recorded in its timestamp. In this case, the entire aggregated MTS shifts to a more recent time on the chart, indicating that the start time was more recent than the actual timestamp. This shift occurs because metrics pipeline management ignores the data point timestamp and instead uses the time it ingested the data point.

    For example, if your data points have a 10:00 timestamp, but Splunk Observability Cloud doesn’t start receiving them until 10:10, the aggregated MTS seems to start at 10:10 instead of 10:00.

  • 集計されたMTSは、誤った継続時間を持つように見える可能性があります。

解決策 🔗

以下のオプションを使用することで、このような集約の問題を避けることができます:

  • 不要なディメンションを削除するように OTel Collector を再設定することによって、データを送信する前に独自の MTS 集約を実行します。

  • チャートの生成やディテクターの作成時に、SignalFlowを使用してデータを集約します。

Benefits of aggregating using metric pipeline management 🔗

Use MPM instead of aggregation at query time 🔗

SignalFlow を使用して、」group by 「オプションを適用して MTS を集約することができますが、この集約は MPM の集約とは異なります:

  • MPM aggregates MTS before storing the MTS in the Splunk Observability Cloud database.

  • SignalFlow は集計を行う前に MTS をデータベースに保存します。

  • SignalFlow は、カーディナリティの高いディメンションを削除することはできず、不要な MTS をドロップすることもできません。

  • MPM 集計は、生の MTS インジェストが完了する前に行われるため、カーディナリティの高いディメンションを排除し、不要なデータを削除することができます。

Use MPM instead of modifying the Splunk Distribution of the OpenTelemetry Collector 🔗

When you use MPM, you don’t have to modify the configuration of your Splunk Distribution of the OpenTelemetry Collector. With MPM you can remove high-cardinality dimensions, drop MTS you don’t need, and route MTS to the low-cost data tier after you ingest OpenTelemetry data.

Collector の設定を変更して取り込む前にデータを削除する方法については、Collector を使用して取り込むデータを制御する を参照してください。

Create aggregation rules for a metric 🔗

注釈

集計ルールを作成または編集するには、Admin または Power user のロールが必要です。詳細については、Splunk Observability Cloud のロールについて を参照してください。

To access and create the aggregation rules for a metric follow these steps:

  1. Access your Splunk Observability Cloud account.

  2. 左のナビゲーションメニューで、Settings > Metrics Pipeline Management を選択すると、すべてのメトリクスのリストとそのルールセットの概要が表示されるランディングスクリーンにアクセスできます。

  3. メトリクスのサマリーページにアクセスするには、メトリクスを選択または検索します。

  4. Added by rule タイルで、Add を選択します。

  5. In the Create aggregation rule dialog, complete the options:

  • Name your rule.

  • Filter incoming data to a specific MTS population. Search for dimension keys or values to narrow down the associated metric time series (MTS).

  • Configure the dimensions settings. Search for dimensions and select either Keep or Drop. Splunk Observability Cloud saves the dimensions you keep in the new aggregated MTS and removes the dropped dimensions.

注釈

You cannot aggregate histogram metrics.

集計を使用して新しいメトリクスを作成した後、不要なメトリクスや不必要なメトリクスを削除して、データ量を削減できます。詳しくは Impact and benefits of archiving or dropping data をご覧ください。

Edit, deactivate, or delete an aggregation rule 🔗

To edit, activate/deactivate, or delete an existing routing exception rule, perform the following steps:

  1. Access your Splunk Observability Cloud account.

  2. 左のナビゲーションメニューで、Settings > Metrics Pipeline Management を選択すると、すべてのメトリクスのリストとそのルールセットの概要が表示されるランディングスクリーンにアクセスできます。

  3. メトリクスのサマリーページにアクセスするには、メトリクスを選択または検索します。

  4. From the list of rules, find the metric you want to change, then select any of the available options in the More actions (⋮) menu.

このページは 2024年11月13日 に最終更新されました。