ログデータを Splunk Observability Cloud のダッシュボードに追加する 🔗
注釈
Splunk Observability Cloud の Splunk Log Observer エンタイトルメントをお持ちのお客様は、2023年12月までに Log Observer から Log Observer Connect に移行する必要があります。Log Observer Connect を使用すると、より多様なデータソースからより多くのログをインジェストし、より高度なログパイプラインを利用し、セキュリティロギングに拡張できます。その方法については、Splunk Log Observer の移行 を参照してください。
ダッシュボード上のメトリクスチャートは、システムで何が変化し、いつ問題が発生したかを示します。同じダッシュボード上のログデータは、何が起きているのか、なぜ起きているのかを詳細に示します。ダッシュボードに追加したすべてのデータは、同じ時間選択および他のダッシュボードフィルターに応答するため、問題の原因をより迅速に掘り下げることができます。
ダッシュボードでログデータを視覚化するには2つの方法があります:
ログ表示:タイムピッカーで選択された期間のログ記録を時系列順に表示します。
ログタイムライン:選択したフィールドと値でグループ化されたログイベントのヒストグラムチャートを表示します。
どちらのタイプのログチャートも、ダッシュボードのフィルターに自動的に更新されます。ログビューまたはログタイムラインチャートを作成する前に、Log Observerでログをフィルタリングおよび集約します。
注釈
Log Observer Connectのお客様は、各Log Observer Connect接続名が一意である場合にのみ、ダッシュボードにログチャートを作成できます。正しく機能しないログタイムラインチャートを作成した場合は、Log Observer Connect管理者に連絡して、各Log Observer Connect接続名が一意であるかどうかを確認してください。
ダッシュボードにログデータを追加する 🔗
ダッシュボードにログビューまたはログタイムラインチャートを追加するには、以下の手順に従います:
Log Observerにログインし、クエリを作成します。方法については、Log Observer でログをクエリする を参照してください。
Save メニューで、Save to dashboard を選択します。
ログビューに名前と説明を付け、ダッシュボードを選択します。
チャートタイプ で、ログタイムライン または ログビュー を選択し、保存 を選択します。または、新しいログビューをダッシュボードで見るには、保存 を選択し、ダッシュボード に移動します。
これで、新しいログビューを、同じダッシュボード上の他のすべてのチャートと一緒に見ることができます。
ダッシュボードから過去ログチャートを修正する 🔗
ダッシュボードからログチャートを直接編集することはできません。例えば、ダッシュボードからログビューチャートの列見出しやデータを編集することはできません。詳細 メニューを使用して、ログビューを完全に削除することができます。詳細については、チャートアクション を参照してください。
ログビューおよびログタイムラインチャートは、ダッシュボード上で行ったフィルターまたは時間選択に反応します。例えば、ダッシュボードグローバルコントロールバーの 時間 フィールドを調整すると、ログチャートはダッシュボードの他のすべてのチャートと連動して更新されます。
カラムヘッダをドラッグ&ドロップして、ログビューのカラムを好きな順番に並べ替えることができます。並べ替えたい列ヘッダーを選択することにより、ログビューの行を並べ替えることができます。
チャートアクション 🔗
過去ログチャートのダッシュボードから、7つのアクションを実行できます。過去ログチャートの さらに表示 メニューを選択し、以下のオプションのいずれかを選択します:
Log Observer で表示する
コピー
情報
チャートを画像としてダウンロードする
このタイムウィンドウ(APM)からのトラブルシューティング
このタイムウィンドウ(RUM)からのトラブルシューティング
削除
ログチャートの内容を編集するには、Log Observerでクエリを更新する必要があります。Log Observer でView を選択すると、Log Observer でログチャートを表示および編集できます。Log Observerでは、フィールドエイリアスを含むログチャートのフィルターを更新できます。詳細については、同じダッシュボードのメトリクススチャートとログチャートを並べる を参照してください。
チャートアクション メニューから実行できるアクションの詳細については、ダッシュボードでチャートを操作する を参照してください。
同じダッシュボード上でログチャートとメトリクスチャートを合わせる 🔗
ダッシュボード上でシームレスに操作するには、ログフィールドと対応するメトリクスフィールドに同じフィールド名を使用する必要があります。フィールド名が一致しない場合は、ログフィールドをエイリアシングすることで、フィールド名が一致するようにできます。
ログデータをメトリクスデータと整合させるには、以下の手順に従います:
問題の原因を特定するために使用しているダッシュボード上で、メトリクスチャート上の関心のあるフィールド名をメモしてください。
Log Observer で、対応するログフィールドが同じフィールド名を使用しているかどうかを確認します。一致しない場合は、メトリクススチャートが使用するのと同じフィールド名を使用して、ログフィールドのフィールド エイリアスを作成します。方法については、フィールドエイリアスの作成 を参照してください。
ダッシュボードに戻り、前のステップで作成した新しいエイリアスを使用してフィールド名で再度フィルタリングします。
ダッシュボードにログデータを追加する の手順に従って、新しいクエリをチャートとして保存してください。
ログチャートのデータを、同じダッシュボード上の他のチャートのデータと効率的に相互参照できるようになりました。同じダッシュボードのメトリクスフィールドに対応するログフィールドは、同じフィールド名を使用するようになったため、問題をより迅速にドリルダウンできます。フィールド エイリアシングは、元のログフィールド名を変更または削除しません。ログフィールドをエイリアスにすると、元の名前またはエイリアスのいずれかで検索できます。