Splunk Observability Cloudの関連コンテンツ

関連コンテンツ機能：紹介、要件、使用方法。

[Related Content]パネルは、Splunk Observability Cloud 内の異なるビュー間のデータを自動的に関連付けて表示します。APM といった Splunk Observability Cloud 内の単一ビュー画面において、[Related Content] バーに別ビューとして関連するコンテンツとそのリンクを表示します。

Splunk Cloud Platform にも関連コンテンツパネルがあり、検索アプリの検索結果と相互関係を持つオブザーバビリティデータのプレビューを確認することができます。詳しくは「Preview Splunk Observability Cloud data」をご確認ください。

APMの関連ログ

Splunk APM は、デフォルトで [Related Content] バーに関連ログを表示します。Unified Identity および Log Observer Connect のユーザーは、Splunk APM の関連ログの表示を非アクティブ化することでリソースを節約できます。APM でログの関連コンテンツを非アクティブ化するには、管理者が Settings から General Settings を選択し、Deactivate Related Content for logs をアクティブに切り替える必要があります。

APM でログの関連コンテンツを再び表示したい場合は、Settings から General Settings を選択し、Activate Related Content for logs を非アクティブに切り替えてください。

開始点	可能な宛先
APMサービス	サービス、AWS EC2、GCP GCE、Azure VM、サービスのすべてのログ行でフィルタリングされた関連Kubernetesクラスタ
データベースサービス	関連するデータベース・ホストまたはインスタンス
データベースインスタンス	関連データベース・クエリ・パフォーマンス、関連APMサービス
ホストまたはクラウドコンピュートインスタンス（AWS EC2、GCP GCE、Azure VM）	関連するAPMサービス、特定のインスタンスのログ行
Kubernetesクラスタ、ノード、ポッド、コンテナ	ノードの関連ログ行
Kubernetesポッドまたはコンテナ	そのポッドまたはコンテナの関連APMサービス、そのポッドまたはコンテナのログ行
特定のログライン	関連APMサービス、トレース、Kubernetesノード/ポッド/コンテナ、ホストまたはコンピュートインスタンス（AWS EC2、GCP GCE、Azure VM）
特定のトレースID	関連ログ行

Splunk Distribution of the OpenTelemetry Collector を使用して関連コンテンツを有効にする

Splunk Observability Cloud は、OpenTelemetry を使用してテレメトリタイプを相関させます。関連付けるためには、テレメトリフィールド名またはメタデータキー名が、OpenTelemetry と Splunk Observability Cloud の両方で使用されるメタデータキー名と完全に一致している必要があります。

Splunk Distribution of the OpenTelemetry Collector をデフォルト設定でデプロイしてテレメトリデータを Splunk Observability Cloud に送信すると、関連コンテンツがすぐに機能します。デフォルト設定では、Collector はメタデータキー名を自動で正しくマッピングします。Collector について、詳細は「Get started with the Splunk Distribution of the OpenTelemetry Collector」をご確認ください。

注意: 関連コンテンツで問題が発生している場合は、メタデータのキー名を確認し、必要に応じて更新してください。

APMを有効にする Collector の設定関連コンテンツ

APM サービスダッシュボードには、基礎となるインフラストラクチャの正常性を示すチャートが含まれます。Splunk Distribution of the OpenTelemetry Collector のデフォルト設定は、関連コンテンツを自動的に設定します。カスタム設定を使用している場合は、Configure the Collector to enable Related Content for Infra and APM を参照してください。

メタデータの互換性の例

例えば、Splunk Observability Cloudが次のようなテレメトリデータを受信したとします：

Splunk APM は、メタデータキー trace_id:2b78e7c951497655 を持つトレースを受信します。
Splunk Log Observer は、メタデータキー trace.id:2b78e7c951497655 を持つログを受信します。

これらは同じトレース ID 値を参照していますが、trace_id と trace.id というフィールド名が一致しないため、Splunk Observability Cloud ではログとトレースを関連付けることができません。

これを解決するには、ログパイプライン管理のフィールドコピープロセッサを使用して、ログメタデータキー trace.id から trace_id に名前を変更します。または、ログコレクションを再インストゥルメント化して、メタデータキー名を一致させることもできます。

APM と Log Observer のフィールド名が一致する場合は、同じトレース ID 値を持つトレースとログを Splunk Observability Cloud で関連付けることができます。次に、APM でトレースを表示しているときに、同じトレース ID 値を持つログを直接選択し、相関ログを Log Observer に表示します。

必要な Collector コンポーネント

Splunk Distribution of OpenTelemetry Collector、Collector の別のディストリビューション、またはアップストリーム Collector を使用していて、Splunk Observability Cloud の関連コンテンツが正しく動作するようにしたい場合は、SignalFx エクスポーターが設定に含まれていることを確認してください。このエクスポーターは、hostmetrics 受信者からのメトリクスを集約し、metrics および traces パイプラインに対して有効にする必要があります。

Collector は、SignalFx エクスポーターの相関フラグを使用して、関連する API コールを行い、スパンとインフラストラクチャメトリクスを相関させます。フラグはデフォルトでは有効になっています。相関オプションをさらに調整するには、[Settings] で SignalFx エクスポーターのオプションを確認してください。

必須メタデータフィールド

関連コンテンツは、APM、Infrastructure Monitoring、Log Observer が Splunk Observability Cloud にフィルタを渡すための特定のメタデータに依存しています。

以下のセクションでは、Splunk Observability Cloud の各ビューで関連コンテンツを有効にするために必要なメタデータキー名を列記します。リストにあるフィールド名がデータ上で確認できない場合、Splunk Observability Cloud は関連データを相関させることができません。

Splunk APM

APMの関連コンテンツを有効にするには、以下のスパンタグのいずれかを使用します：

service.name
trace_id

オプションで、deployment.environment を service.name と使うこともできます。

Splunk Distribution of OpenTelemetry Collector のデフォルト設定では、すでにスパンタグが提供されています。関連コンテンツが問題なく機能するように、Splunk Distribution of OpenTelemetry Collector が提供するメタデータキー名やスパンタグには変更を加えないようにしてください。

詳細：

Splunk APM におけるスパンタグについて、詳しくは「Manage services, spans, and traces in Splunk APM」を参照してください。
Splunk APM のデプロイ環境については、Set up deployment environments in Splunk APM をご確認ください。

APM とポッド固有の Kubernetes データのための関連コンテンツの活用

APM の関連コンテンツタイルで特定の Kubernetes ポッド（k8s.pod.name⁠）のデータにリンクするには、まず特定の Kubernetes クラスター（⁠k8s.cluster.name）でフィルタリングする必要があります。Kubernetes のポッド名はクラスター間で一意である必要がないため、APM では両方の値が揃っていない場合、Infrastructure Monitoring 内の関連コンテンツ Kubernetes ポッドのリンク先について、その正確性を保証することができません。

たとえば、関連コンテンツが Pod-B という名称の Kubernetes ポッドのデータを返す必要があるとします。次の図に示すように、Kubernetes の実装では、同じ名称のポッドを複数含めることが可能です。関連コンテンツが正確な Pod-B データを返すには、ポッドが存在する Kubernetes クラスターの名称を併せて指定しなければなりません。この場合、名称は Cluster-West または Cluster-East となります。クラスターとポッド名を一緒にフィルタリングすることで、関連コンテンツが Infrastructure Monitoring 内で正確なポッドデータにリンクするために必要な一意の組み合わせを作成することができます。

この図は、2つのユニークな名前のKubernetesクラスタを示しており、それぞれがクラスタ間で名前を共有するポッドを含んでいます。

Splunk Infrastructure Monitoring

IM の関連コンテンツを有効にするには、以下のメタデータの組み合わせのいずれかを使用します：

host.nameします。host、aws_private_dns_name（AWS）、instance_name（GCP）、azure_computer_name（Azure）にフォールバックします。
k8s.cluster.name
k8s.cluster.name + k8s.node.name
k8s.cluster.name + k8s.node.name (オプション) + k8s.pod.name
k8s.cluster.name + k8s.node.name (オプション) + k8s.pod.name (オプション) + container.id
service.name
service.name + deployment.environment (オプション) + k8s.cluster.name (オプション)

Splunk Distribution of the OpenTelemetry Collector のデフォルト設定を使用している場合、必要な Infrastructure Monitoring メタデータが提供されます。詳しくは「Helm を使用して Collector for Kubernetes をインストールする」を参照してください。

OpenTelemetry Collector の他のディストリビューションや、Splunk ディストリビューションのデフォルト以外の設定を使用してインフラストラクチャデータを収集している場合、関連コンテンツはそのままでは動作しません。

Splunk ログ

ログの関連コンテンツを有効にするには、以下のフィールドのいずれかを使用します：

host.name
service.name
span_id
trace_id

Log Observerと関連コンテンツの両方が完全に機能するために、ログイベントのフィールドが正しくマッピングされていることを確認してください。正しいログフィールドマッピングは、組み込みのログフィルタリングを可能にし、APM と Infrastructure Monitoring 機能にログを埋め込み、関連コンテンツバーと同様に高速検索を可能にします。

前述のリスト内のキー名がログフィールド上での名称と異なる場合は、リスト記載のキー名に再度マッピングしてください。たとえば、Log Observer の UI に host.name の値が表示されない場合は、ログで host_nameなどの別のフィールド名が使用されていないか確認してください。ログに上記のリストに表示されているとおりのデフォルトフィールド名が含まれていない場合は、次のいずれかの方法を使用してログを再マッピングしてください。

注: Splunk Observability Cloud の Splunk Log Observer の利用資格をお持ちのお客様は、2023 年 12 月までに Log Observer から Log Observer Connect に移行する必要があります。Log Observer Connect では、より多様なデータソースからより多くのログを取り込み、より高度なログパイプラインの活用とセキュリティログへの拡張ができます。方法については、「Splunk プラットフォームでログのパイプラインを完成する」を参照してください。

Kubernetesのログフィールド

Splunk Distribution of OpenTelemetry Collector は、以下のフィールドを Kubernetes ログに注入します。関連コンテンツを使用する場合は、この値を変更しないでください。

k8s.cluster.name
k8s.node.name
k8s.pod.name
container.id
k8s.namespace.name
kubernetes.workload.name

これらのタグの組み合わせを使用して、以下の関連コンテンツを有効にします：

k8s.cluster.name + k8s.node.name
k8s.cluster.name + k8s.node.name (オプション) + k8s.pod.name
k8s.cluster.name + k8s.node.name (オプション) + k8s.pod.name (オプション) + container.id

Collector for Kubernetes について、詳細は「Get started with the Collector for Kubernetes」を参照してください。

ログフィールドの再マップ

以下の表は、ログフィールドを再マッピングする4つの方法について説明しています。


再マッピング方法	手順
ログフィールドのエイリアシング	フィールドエイリアスの作成とアクティブ化を行います。方法については、「フィールドエイリアスの作成」を参照してください。次のセクションでログフィールドのエイリアスを利用するタイミングを確認してください。
クライアント側	必要なフィールドを再マップするようにアプリを設定します。

ログフィールドのエイリアシングの使用時期

以下のいずれかに該当するため、コピープロセッサーを作成できない、または作成したくない場合は、ログフィールドのエイリアシングを使用してSplunk Observability Cloudのフィールドを再マッピングします。

ログデータの取得に Log Observer Connect を使用しており、Log Observer Pipeline Management にアクセスできません。
追加のログ処理ルールを作成することで、インデックス作成容量を使用したくありません。
インデックス時にデータを変換したくありません。
新しいエイリアスは、エイリアスを作成する前の時点から入ってきたものであっても、すべてのログメッセージに影響するようにしたいと思います。

メタデータのキー名を変更する方法

メトリクス名とトレース名の変更

OpenTelemetry Collector の Splunk Distribution を使用し、Splunk Observability Cloud の関連コンテンツ機能を利用するために必要なメタデータキー名が、メトリクスやトレースに確実に含まれていることを確認してください。Collector を使用せず、メトリクスまたはトレースが必要なメタデータキー名を含んでいない場合は、アプリケーションとサーバーレス関数をインストゥルメント化して含めることができます。詳細については、次のページを参照してください。

ログ名を変更する

必要なキー名がログフィールドで異なる名前を使用している場合は、ログフィールドの再マッピングに記載されている方法のいずれかを使用して再マッピングしてください。