イベントを使用してメトリクスにコンテキストを追加する

イベントはシステム上の事象を示し、メトリクスデータにコンテキストを提供します。イベントデータの表示方法とカスタムイベントの作成方法について説明します。

イベント あるいはイベント時系列(ETS)とは、メトリクス のストリーミングフロー外において、 Splunk Observability Cloud で表現できる特定の事象を指します。イベントはメトリクスデータにコンテキストを提供します。

イベントは非常に基本的なもので、イベントに分析関数を適用することはできません。ただし、メタデータに基づいて プロット することは可能です。

Splunk Observability Cloud のイベント

Splunk Observability Cloudでは、さまざまな状況でイベントが作成されます:

  • ディテクタ がアラートをトリガーするたびに、イベントが作成されます。アラートがクリアされたとき、手動で解決されたとき、またはディテクタが編集または削除されたために停止されたときに、2 番目のイベントが作成されます。

  • SessionLog イベントは、「session created」または「session deleted」の 2 つのアクションをキャプチャします。SessionLog イベントは、ユーザーが組織に明示的にログインまたはログアウトしたときに作成されます。すでにアクティブなセッションを持っている Splunk Observability Cloud に移動するユーザーに対しては、ログインは求められず、したがって SessionLog イベントは作成されません。SessionLog イベントには、ユーザー ID、電子メール、およびタイムスタンプが含まれます。

  • カスタムイベントは、イベントをキャプチャして Splunk Observability Cloud に送信すると作成されます。例えば、開発チームが新しいコードをデプロイするたびにカスタム「コードプッシュ」イベントを送信し、イベント前後のインフラストラクチャのリソース消費プロファイルと関連付けることができます。

イベントの種類

各イベントは、イベントタイプのインスタンスです。イベントタイプは、コードのプッシュなど、ストリームやシリーズとして表示したいイベントをグループ化した再利用可能なイベント名です。

イベントタイプを再利用することで、チャートにイベントタイプを追加し、そのイベントタイプで発生したすべてのイベントを表示することができます。また、カスタムイベントを作成して、特定のアクションを記録することもできます。

イベントに有効な値

イベント値は特定の基準を満たす必要があります。無効なペイロードはドロップされ、sf.org.numEventsDroppedInvalidByToken などの org メトリクスで追跡できます。Splunk Observability Cloud の組織のメトリクスを表示する を参照してください。

これらはイベントに有効な値です:

  • イベントタイプ (またはイベント名) の最大長:256 文字

  • 1 件のイベントに許可される最大ディメンション数:36.

  • イベントのディメンションキー名の最大長:128 文字例えば、ディメンションのキーと値のペアが「mydim」と「myvalue」である場合、「mydim」は 128 文字に制限されます。

  • イベントのディメンション値の最大長:256 文字例えば、ディメンションのキーと値のペアが「mydim」と「myvalue」である場合、「myvalue」は 256 文字に制限されます。

  • イベントに許可されるプロパティの最大数:1024。

  • イベントのプロパティキー名の最大長:128 文字例えば、プロパティのキーと値のペアが「myproperty」と「myvalue」である場合、「myproperty」は 128 文字に制限されます。

  • イベントのプロパティ値の最大長:256 文字例えば、プロパティのキーと値のペアが「myproperty」と「myvalue」である場合、「myvalue」は 256 文字に制限されます。

カスタムイベント

カスタムイベントは通常、他のサービスとのインテグレーションによって生成されるか、REST API を介して、外部で特定のイベントが発生すると Splunk Observability Cloud に送信されます。 カスタムイベントについて、詳細は「開発者ポータル」をご確認ください。

また、手動でカスタムイベントを作成し、他のイベントと一緒にチャートに表示することもできます。新しいカスタムイベントを手動で作成する を参照してください。

注: カスタムイベントは1年間プラットフォームに保持されます。

新しいカスタムイベントを手動で作成する

新しいカスタムイベントを作成するには:

  1. イベントサイドバー から、New event を選択します。

  2. [Create Event] ダイアログボックスへの入力を開始すると、選択可能なイベントタイプのリストが表示されます。ツールチップを選択して新しいイベントタイプを作成することもできます。

    イベントの作成ダイアログボックス(イベントタイプのサンプル)

  3. 時間を入力し、そのイベントを説明します。

  4. 新しいカスタムイベントとイベントタイプ (作成した場合) を保存するには、Create を選択します。

注: また、Chart Builderを使用して新しいカスタムイベントを作成することもできます。詳しくは「カスタムイベントを手動で追加する」を参照してください。

カスタムイベントの削除

カスタムイベントのみ削除が可能です。ディテクタによって生成されたイベントは削除できません。

カスタムイベントを削除するには:

  1. カスタムイベントを探して開く:

    • ダッシュボードのイベントフィードサイドバーで、カスタムイベントを選択します。

    • イベントフィード を表示または編集する場合は、カスタムイベントを選択します。

  2. イベントを削除するには、Mark For Deletion を選択します。

注: イベントはすぐには削除されないかもしれません。

イベントを見る

Splunk Observability Cloud のイベント で説明されているイベントタイプを、チャート( チャートでイベントを表示する を参照)または ダッシュボード上のイベントフィード チャート に追加することができます。

最新のイベントは、ダッシュボード表示時にナビゲーションバーから利用できる [Events] サイドバーでも確認できます。[Show Sidebar] アイコンをクリックして Event Feed タブを選択してください。

イベントフィードのサイドバーを横に開く

サイドバーのイベントリストには、各イベントの重大度、トリガーイベント(実線の三角形)かクリアイベント(中空の三角形)かが表示されます。サイドバーには、イベントがカスタムイベント(中空の菱形)であるかどうかも表示されます。

Event Feed のサイドバーでイベントにカーソルを合わせると、すべてのチャートにイベント発生時刻の縦線が表示されます。この縦線により、メトリクス値とイベントの相関関係が容易に視覚化できます。

すべてのチャートのイベントライン

イベントフィードサイドバーでイベントを選択すると、イベントの詳細が表示され、アラートに関連するイベントについては、イベントを生成したディテクタを開くためのオプションが表示されます。イベントが現在アクティブなアラートに関連付けられている場合、アラートを解決するためのオプションも表示されます。

注: また、ダッシュボードのチャートに イベントマーカーをオーバーレイ することもできます。

Splunk Observability Cloudのイベント保持

すべての種類のイベントの保持期間は12か月です。