チャートのデータ解像度とロールアップ
チャートにおいて解像度とは、チャート上にデータポイントが表示される間隔のことであり、ロールアップとは、ある期間に受信したすべてのデータポイントを取得し1つのデータポイントをプロットする統計関数のことです。
Splunk Observability Cloudには、2種類の解像度があります:
-
チャートの解像度:チャート上にデータポイントが表示される間隔
-
データ収集間隔:サーバーまたはアプリケーションがデータポイントを Splunk Observability Cloud に送信する間隔。この間隔は、データのネイティブ解像度です。ネイティブ解像度の詳細については、「Splunk Infrastructure Monitoring での解像度とデータ保持」を参照してください。
チャートデータの解像度
チャートをレンダリングすると、Splunk Observability Cloud のデフォルトでは、チャートの時間範囲に基づいて表示解像度が設定されます。一般的に、時間範囲が短いと解像度が細かくなり、グラフ解像度がネイティブ解像度と同じになる可能性が高くなります。逆に、時間範囲が長いと解像度が低くなり、グラフ解像度がネイティブ解像度と異なる可能性が高くなります。グラフの時間範囲がさらに長い場合、Splunk Observability Cloud はロールアップを使用して、表示されるポイントが実際のデータポイントを正確に反映するようにします。
グラフ解像度は、グラフビルダーまたはグラフを含むダッシュボードのグラフタイトルの横に表示されます。グラフ解像度を増減するには、グラフ上部またはダッシュボードにあるグラフ解像度セレクタを使用します。詳細については、「チャートの表示解像度」を参照してください。
異なる解像度のプロット
グラフには、それぞれ異なるメトリクス時系列(MTS)を表す複数のプロットを含めることができます。各 MTS には独自の解像度を設定できます。Splunk Observability Cloud はグラフごとに 1 つの解像度を選択し、複数のプロットに対しては最も低い解像度をグラフに使用します。この解像度を使用してデータポイントを並べ、プロットと計算を容易にします。
たとえば、AWS CloudWatch からのメトリクスには通常 1 分または 5 分の解像度が設定されますが、Splunk Distribution of OpenTelemetry Collector(または現在は廃止されたSignalFx Smart Agent)を使用して報告されたメトリクスには通常 10 秒の解像度が設定されます。1 つのチャートに、AWS Cloudwatch のメトリクス(5 分間の解像度)を含む 1 つのプロットと、Collector または Smart Agent のメトリクスを含む別のプロットがある場合、チャート解像度は常に 5 分以上になります。
最小チャート解像度
[Chart Options] タブで、チャートの最小解像度を選択できます。以下はオプションの一覧表示で、括弧内は UI 上での表示例です。
-
オート
-
1秒(1s)
-
5秒(5s)
-
10秒(10s)
-
30秒(30s)
-
1分(1m)
-
1時間(1h)
選択した値は、Splunk Observability Cloudがチャートに表示されるデータポイント値をロールアップするために使用する最小間隔を指定します。
チャートの解像度とデータの保持
グラフのメトリクス時系列の解像度は、その時系列が含まれる時間枠の影響を受けます。この時間(つまり経過時間)によって、時系列のデータ保持ポリシーが制御されます。詳細については、「Splunk Infrastructure Monitoring での解像度とデータ保持」を参照してください。
ロールアップ
rollup は 、一定期間にわたって MTS のすべてのデータポイントを取得し、単一のデータポイントを出力する統計関数です。Splunk Observability Cloud は、ストレージからデータポイントを取得した後、分析機能を適用する前にロールアップを適用します。
チャートにおいては、MTS のロールアップされたデータポイントは、その MTS のネイティブ解像度よりも低いチャート解像度で表示されます。解像度が低いことで、Splunk Observability Cloud ではデータを適切に表示することができます。
たとえば、1 週間の時間範囲でチャートを作成したとします。チャートでは、ネイティブ解像度が 30 秒の MTS がプロットされます。Splunk Observability Cloud が MTS にロールアップを適用しない場合、プロットには 20,160 個のデータポイントが含まれます(1 分に 2 個、1 時間に 120 個、1 日に 2,880 個、1 週に 20,160 個)。この数値は、一般的な 30 インチのモニターで使用可能なピクセル数の 10 倍です。
プロットを表示可能なサイズに縮小するために、Splunk Observability Cloud は MTS にロールアップを適用します。チャートに表示される各データポイントは、MTS 内の実際のデータポイントの概要になります。
Splunk Observability Cloud は常にロールアップを適用するわけではありません。同じ MTS に対して 15 分の時間範囲でチャートを作成すると、プロットには 30 個のデータポイントしか含まれません。Splunk Observability Cloud では、MTS をロールアップする必要がないと自動的に判別され、チャートの解像度は MTS のデータポイントのネイティブ解像度と同じになります。
チャート内のプロットに対して、Splunk Observability Cloudは、チャートの時間窓によって画面におさまらないほど多くのデータポイントを表示する必要が生じると判断した場合に、データをロールアップします。
また、Splunk Observability Cloud は、データを長期間保存する際にもロールアップを行います。詳細については、「ロールアップ、解像度、データ保持ポリシー」を参照してください。
ロールアップの種類
Splunk Observability Cloudには、さまざまな種類のロールアップがあります:
|
タイプ |
効果 |
|---|---|
|
データポイントを 1 つのデータポイントにまとめます。まとめられたデータポイントは、元のデータポイントのネイティブ解像度よりも低いチャート解像度になります。 例えば、受信データポイントのネイティブ解像度が10秒で、チャートの解像度が1日の場合、Splunk Observability Cloudは、データを1日の解像度にあわせてロールアップします。 チャートの解像度が受信データのネイティブ解像度と同じ場合は、これらのロールアップには何の効果もありません。 |
|
毎秒カウント数(レート) |
最後の期間のイベント数または発生数を表すデータポイントを 1 秒あたりのカウント数に変換します。このロールアップは、さまざまな期間のカウンタメトリクスを比較するのに役立ちます。たとえば、2 つのメトリクス時系列があり、一方に過去 10 秒間のカウント数が含まれ、もう一方に過去 5 秒間のカウント数が含まれている場合、レートロールアップを使用すれば、2 つの MTS を比較できます。 |
|
デルタ |
累積カウンタの値の変化を計算します。デルタは、現在の間隔の受信データと前の間隔のデータとの差であるデータポイントを返します。 デルタロールアップは、累積カウンタメトリクスの傾向を確認するのに役立ちます。累積カウント数 MTS の折れ線グラフの傾斜がマイナスになることはありません。MTS のデルタロールアップの折れ線グラフの傾斜がマイナスになる場合は、累積カウント数の増加ペースが低下していることを示しています。 |
|
ラグ(Lag)およびカウント(Count) |
|
チャートを作成する場合、デフォルトのロールアップの種類を採用するか別のロールアップの種類を選択して、長期の時間枠に対してより低い解像度のデータを表示する際のチャートの外観を制御できます。
チャートで使用されているロールアップを変更するには、「プロット設定パネルでオプションを設定する」を参照してください。
Splunk Observability Cloudには、以下のロールアップ関数があります:
-
Sum :( カウンタメトリクスのデフォルト):MTS の報告間隔内の全データポイントの合計を返します。
-
Average :(ゲージメトリクスのデフォルト):MTS の報告間隔内の全データポイントの平均値を返します。
-
Min:MTSの報告間隔内のデータポイントの最小値を返します。
-
Count:MTSの報告間隔内のデータポイントの総数を返します。
-
Max:MTSの報告間隔内のデータポイントの最大値を返します。
-
Latest:MTSの報告間隔内で最後に受信したデータポイントの値を返します。
-
Lag:各データポイントのタイムスタンプと Splunk Observability Cloud がそれを受信した時間の平均時間をミリ秒単位で返します。
-
Rate:
SumとCount
Sum は、報告間隔内のすべての MTS の値を合計します。Count は、個別の MTS の数を示します。目的のディメンションにのみ 4 つの MTS を持つデータがある場合:
-
48 CUSTOM
-
28 AUTO_DETECT
-
17 SLO_ALERTING
-
2 NAMED_TOKEN
それらを加える(sum)と、95(48 + 28 + 17 + 2)になります。これらに count を適用すると、個別の MTS の数が求められ、4 となります。フィルタ「Purpose=CUSTOM」を追加すると、sum は 48、count は 1 になります。
チャートのプロットにおけるロールアップの影響を理解する
チャートのデータを解釈する際には、以下の要素を考慮します:
-
チャートの解像度。「チャートデータの解像度」を参照してください。
-
ロールアップの設定
-
Splunk Observability Cloudがデータにロールアップを適用しているかどうか
-
データに他の分析関数を適用しているかどうか
例:分析なしのロールアップ
次の表に、チャート内のデータの解釈例を示します。解釈の列は、メトリクスの本来の意味、ロールアップ設定、およびチャート解像度の説明です。
|
メトリクス |
ロールアップ |
チャートの解像度 |
解釈 |
|---|---|---|---|
|
|
平均 |
10s |
各MTSの10秒間の平均CPU使用率。 |
|
|
Rate/sec |
1h |
1時間の間隔における1秒間ごとの送信ビットの平均レート |
|
|
デルタ |
2m |
2分間の送信エラー数 |
例:分析ありのロールアップ
rollup 分析関数と SignalFlow 分析関数は似ていますが、目的やチャートへの影響が異なります。分析関数をチャートに適用すると、そのチャート内のデータの意味が変更されます。rollup 関数は常にデータに最初に適用され、Splunk Observability Cloud が分析関数を適用する前にデータに影響を与えます。
ロールアップと分析関数の両方を持つチャートを解釈する場合は、以下に注意してください:
-
データポイントが持つ本来の意味を考える
-
ロールアップと解像度の影響を考える
-
分析関数の影響を考える。分析集計関数はチャート内のすべての MTS に適用されますが、ロールアップはそれぞれの MTS に適用されます。例:
|
メトリクス |
ロールアップ |
分析関数(集計) |
チャートの解像度 |
解釈 |
|---|---|---|---|---|
|
|
平均 |
なし |
1m |
各ホストで観測された 1 分あたりの平均 CPU 使用率。ホスト数が 50 の場合、チャートには 50 の MTS が含まれ、50 の別個のプロットが表示されます。各プロットのそれぞれのデータポイントは、過去 1 分間の MTS の [ |
|
|
平均 |
Mean |
1m |
すべてのホストで観測された 1 分あたりの平均 CPU 使用率。Average ロールアップと Mean 分析関数を組み合わせて、各平均値の平均を示します。チャートには 1 つのプロットが含まれ、各データポイントは過去 1 分間に観測されたすべての MTS の平均を表します。 |
|
|
平均 |
Max |
1m |
すべてのホストで観測された 1 分あたりの最大 CPU 使用率。Average ロールアップと Max 分析関数を組み合わせて、各平均値の最大値を示します。チャートには 1 つのプロットが含まれ、各データポイントは過去 1 分間に観測された MTS のすべての平均値の最大値を表します。このプロットの解釈を、次の行に示す Max ロールアップおよび Max 分析関数の集計解釈と比較してください。 |
|
|
Max |
Max |
1m |
すべてのホストで観測された 1 分あたりの最大 CPU 使用率の値。Max ロールアップと Max 分析関数を組み合わせて、各最大値の最大値を示します。チャートには 1 つのプロットが含まれ、各データポイントは過去 1 分間に観測された MTS のすべての最大値の中で最大の値を表します。 |
集計関数と変換関数の違いについては、「データの集約と変換」を参照してください。
例:ロールアップと解像度
次の表は、ユーザーがロールアップと解像度の組み合わせを使用し、Splunk Observability Cloudがロールアップを適用したときに表示されるプロットの例です。
|
メトリクス |
タイプ |
ロールアップ |
解像度 |
解釈 |
|---|---|---|---|---|
|
|
ゲージ |
平均 |
10s |
10秒間の平均CPU使用率(%) |
|
|
累積カウンター |
デルタ |
1m |
1分間の送信ビット/秒の平均レート |
|
|
累積カウンター |
デルタ |
2m |
2分間に発生した送信エラーの総数 |
|
|
Count |
平均 |
1h |
1時間の平均ログイン成功数 |
|
|
Count |
合計 |
1h |
1時間のログイン成功総数 |
ロールアップと分析関数の相互作用
ロールアップと分析関数は両方ともデータの統計分析を実行する方法であるため、同様の結果が得られます。チャートに対しては異なる影響を与え、Splunk Observability Cloud では異なるタスクに使用されます。また、ロールアップには、Sum や Max など分析関数と同じ名前が付いているものもあります。
以下のテーブルは、ロールアップと分析関数の違いについて説明したものです:
|
ロールアップ |
分析関数 | |
|---|---|---|
|
使用方法 |
ロールアップは、同じMTSからのデータポイントを、Splunk Observability Cloudが表示または保存する1つのデータポイントにまとめます。 |
分析関数は、データポイントに対して統計、変換、組み合わせ、選択、集計などの計算を実行します。結果として得られるデータポイントの数は、関数によって異なります。 |
|
数 |
Splunk Observability Cloudのロールアップの種類は10個未満です。 |
Splunk Observability Cloudの分析関数の種類は20を超えます。 |
|
必要条件 |
チャート内で使用するロールアップの選択のみが可能です。Splunk Observability Cloud が、必要に応じてロールアップを適用します。 |
ユーザーは、データに対して分析関数を使うかどうかを決定できます。 |
|
演算の順序 |
Splunk Observability Cloud においてロールアップを適用する必要がある場合、そのロールアップは常に、ユーザーが指定した分析関数より前にチャートに適用されます。 |
Splunk Observability Cloudが分析関数をチャートに適用する順序は、ユーザーが決定します。 |
|
タイミング |
Splunk Observability Cloudは、必要なチャート解像度に応じて自動的にロールアップを適用します。 |
Splunk Observability Cloudは、チャートの解像度に関係なく常に分析関数を適用します。 |
|
目に見える影響 |
ほとんどの場合、ロールアップの効果はチャートの時間範囲を変更するまで目に見えません。時間範囲を長くすると、Splunk Observability Cloud でロールアップが適用される可能性があります。Splunk Observability Cloud がネイティブ解像度でデータを表示できる場合、時間範囲を短くすると、Splunk Observability Cloud がロールアップを削除する可能性があります。 |
分析関数を適用すると、その影響はすぐにチャートで確認できます。 |
ロールアップ、解像度、分析関数がチャートデータに与える影響
以下の表は、ロールアップ、解像度、分析集計関数のいくつかの組み合わせの結果を示しています。これらの例を活用して、必要な情報を含むチャートを作成できます。
|
メトリクス |
タイプ |
ロールアップ |
集計分析関数 |
解像度 |
データポイントの意味 |
|---|---|---|---|---|---|
|
|
ゲージ |
平均 |
Mean |
1h |
1時間あたりの平均CPU使用率 |
|
|
ゲージ |
平均 |
Max |
1h |
1時間あたりの平均CPU使用率の最高値 |
|
|
ゲージ |
Max |
Max |
1h |
1時間あたりのCPU使用率の最大値 |
|
|
カウンター |
Rate/sec |
Mean |
1h |
1時間の平均リクエストレート/秒 |
|
|
カウンター |
Rate/sec |
Max |
1h |
1時間の平均リクエストレート/秒の最高値 |
|
|
カウンター |
合計 |
合計 |
1h |
1時間あたりの総リクエスト数 |
|
|
カウンター |
合計 |
Max |
1h |
1時間あたりのリクエスト総数の最高値 |