ログのメトリクス化ルールでログからメトリクスを作成する 🔗
注釈
Splunk Observability Cloud の Splunk Log Observer エンタイトルメントをお持ちのお客様は、2023年12月までに Log Observer から Log Observer Connect に移行する必要があります。Log Observer Connect を使用すると、より多様なデータソースからより多くのログをインジェストし、より高度なログパイプラインを利用し、セキュリティロギングに拡張できます。その方法については、Splunk Log Observer の移行 を参照してください。
ログのメトリクス化ルールを使用すると、選択したディメンションでグループ化されたログの集計カウントを示すログ由来のメトリクスを作成できます。Log Observerのビジュアル分析では、クエリのコンテキストで集計メトリクスを動的に表示できますが、ログメトリクス化ルールでは、ログデータからメトリクスをチャート、ダッシュボード、およびディテクターに埋め込むことができます。ログメトリクス化ルールを使用すると、すべてのログデータのインデックスを作成することなく、ログデータセットの傾向を確認できます。
注釈
Splunk Observability Cloud で Splunk Log Observer エンタイトルメントを持つお客様のみが、ログのメトリクス化ルールを作成できます。Log Observer エンタイトルメントがなく、代わりに Splunk Log Observer Connect を使用している場合は、Splunk Log Observer Connectの概要 を参照して Splunk Enterprise インテグレーションでできることを確認してください。
ログのパイプラインルールの実行順序 🔗
ログのパイプラインルールは以下の順序で実行される:
ログ処理ルール
ログのメトリクス化ルール
無限のロギングルール
Log Observerは、すべてのパイプライン管理ルールを実行した後にのみ、ログデータにインデックスを作成します。ログのセットをメトリクス化してからアーカイブすると、メトリクス化されたログは取り込み容量にカウントされますが、インデックス作成容量にはカウントされません。他のメトリクスと同様に、ログのメトリクス化ルールから派生したメトリクスは、契約に従ってメトリクスのクオータにカウントされます。詳細については、ログのパイプラインルールのシーケンス を参照してください。
前提条件 🔗
ログのメトリクス化ルールを作成するには、Splunk Observability Cloud の Admin または Power ユーザーのロールが必要です。
ログのメトリクス化ルールを作成する 🔗
ログのメトリクス化ルールを作成するには、2つの方法があります:
ログのパイプラインからログのメトリクス化ルールを作成する 🔗
ログパイプラインでゼロから新しいログメトリクス化ルールを作成するには、以下の手順に従います:
ナビゲーションメニューから、Data Configuration > Logs Pipeline Management に移動します。
New Metricization Rule をクリックします。
マッチング条件を定義します。メトリクス化ルールの結果、一致するログのみがチャートに含まれます。
メトリクスを設定するには、Log Observer集計クエリを実行します。このクエリの関数、集約、およびディメンションを選択します。以下の関数から選択できます: Count AVG 、MAX 、MIN 、および SUM から選択できます。既定の関数は Count です。Log Observer のデフォルトの集約は All(*) で、デフォルトのディメンションは severity です。Log Observer Connectにはデフォルトの集約はありません。集約のディメンションを変更するには、Group by フィールドで別のディメンションを選択します。集計クエリの詳細については、ログ集計を使用してフィールドごとにログをグループ化する を参照してください。
次に、ログを集約する対象フィールドを選択します。例えば、services をターゲットフィールドとして選択し、status でログをグループ化することができます。amount のような「#」の付いたフィールドは、ログを集計するために数値が必要です。
Next をクリックします。
メトリクス時系列(MTS)サマリーを確認して、メトリクス化がサブスクリプションの使用状況にどのように影響するかを確認します。オプションでインジェストトークンを選択して、MTSカウントを制限することができます。
Next をクリックします。
メトリクスに名前を付けます。名前のデフォルトは、関数とターゲットのフィールドです。
オプションでメトリクスタイプを Gauge 、Counter 、Cumulative counter に変更することができます。
ルールに名前と説明をつけます。
設定を確認し、Save をクリックします。ルールが[ログパイプライン管理]ページの[メトリクス化ルール]リストに表示されます。ルールの名前をクリックすると、ルールの概要が表示されます。ルールの出力を表示するには、view your new metric in a chart をクリックします。これにより、新しいメトリクスが入力されたチャートビルダーが表示されます。60 秒以内に、チャート内にレポートされたメトリクスが表示されます。
チャートビルダーで、Save As をクリックして、新しいメトリクスをチャートとして保存します。その後、新規または既存のダッシュボードに埋め込むことができます。
Log Observer クエリのコンテキストでログメトリクス化ルールを作成する 🔗
多くの場合、既存のクエリの潜在的な価値に気づき、そのクエリに基づいてログメトリクス化ルールを作成することを決定するかもしれません。Log Observer クエリから新しいメトリクス化ルールの作成をすばやく開始できます。
既存の検索クエリのコンテキストで新しいログメトリクス化ルールを作成するには、以下の手順に従います:
ナビゲーションメニューで、Log Observer に移動します。
ログを集約するクエリを作成します。方法については ログ集計を使用してフィールドごとにログをグループ化する を参照してください。
Save メニューで、Save as Metric を選択します。これにより、[ログパイプライン管理]の[メトリクスを設定する]ページが表示されます。
ログのパイプラインからログのメトリクス化ルールを作成する のステップ3に進み、指示を完了します。
ログメトリクス化ルールの制限 🔗
組織は合計128のログメトリクス化ルールを作成できます。