ログデータを Splunk Observability Cloud のダッシュボードに追加する

ログをメトリクスに変換することなく、Splunk Observability Cloud のダッシュボードにログデータを追加できます。ログビュー、ログタイムラインチャート、およびメトリクスチャートを 1 つのダッシュボードに揃えます。

ダッシュボードのメトリクスチャートには、システムで何が変更されたか、いつ問題が始まったかが表示されます。同じダッシュボードのログデータには、何が起きているか、およびその理由が詳細に表示されます。ダッシュボードに追加するすべてのデータは、選択されている同じ時間および他のダッシュボードフィルタに対応するため、問題の原因に迅速にドリルダウンできます。
注: チャートの生成に使用する Log Observer Connect クエリ内のフィールドには、必ずインデックスを付けてください。インデックスが作成されていないフィールドは、Splunk Observability Cloud ダッシュボードのチャートに反映されません。

ダッシュボードでログデータを視覚化するには2つの方法があります:

  • ログ表示:タイムピッカーで選択された期間のログ記録を時系列順に表示します。

  • ログタイムライン:選択したフィールドと値でグループ化されたログイベントのヒストグラムチャートを表示します。

どちらのタイプのログチャートもダッシュボードフィルタに自動的に更新されます。ログビューまたはログタイムラインチャートを作成する前に、Log Observer でログをフィルタリングおよび集計します。

注: Log Observer Connect のユーザーは、各Log Observer Connect 接続名が一意の場合にのみ、ダッシュボードでログチャートを作成できます。正しく機能しないログタイムラインチャートを作成した場合は、Log Observer Connect 管理者に連絡して、各 Log Observer Connect 接続名が一意であるかどうかを確認してください。

ダッシュボードにログデータを追加する

ダッシュボードにログビューまたはログタイムラインチャートを追加するには、以下の手順に従います:

  1. Log Observer にログインし、クエリを作成します。方法については、「Log Observer Connect でログをクエリする」を参照してください。

  2. [Save] メニューで、[Save to dashboard] を選択します。

  3. ログビューに名前と説明を付け、ダッシュボードを選択します。

  4. [Chart type] で、[Log timeline] または [Log view] を選択してから、[Save] を選択します。または、ダッシュボードに新しいログビューを表示するには、[Save and go to dashboard] を選択します。

これで、新しいログビューを、同じダッシュボード上の他のすべてのチャートと一緒に見ることができます。

ダッシュボードから過去ログチャートを修正する

ダッシュボードからログチャートを直接編集することはできません。たとえば、ログビューチャートの列見出しやデータをダッシュボードから編集することはできません。[More] メニューを使用して、ログビューを完全に削除できます。詳細については、「チャートアクション」を参照してください。

ログビューチャートとログタイムラインチャートは、ダッシュボードで行うフィルタまたは時間の選択に応答します。たとえば、ダッシュボード グローバル コントロール バーの [Time] フィールドを調整すると、ログチャートはダッシュボードの他のすべてのチャートと連動して更新されます。

列ヘッダーを目的の順序にドラッグアンドドロップすることで、ログビューの列を並べ替えることができます。ソート基準とする列ヘッダーを選択すると、ログビュー内の行をソートできます。

チャートアクション

ダッシュボードからログチャートで 7 つのアクションを実行できます。ログチャートの [More] メニューを選択し、次のいずれかのオプションを選択します。

  • Log Observer で表示する

  • コピー

  • 情報

  • チャートを画像としてダウンロードする

  • このタイムウィンドウ(APM)からのトラブルシューティング

  • このタイムウィンドウ(RUM)からのトラブルシューティング

  • 削除

ログチャートの内容は、Log Observer で派生したクエリを更新することによってのみ編集できます。[View in Log Observer] を選択し、Log Observer でログチャートを表示および編集します。Log Observer では、フィールドエイリアスを含むログチャートのフィルタを更新できます。詳細については、「同じダッシュボード上でログチャートとメトリクスチャートを合わせる」を参照してください。

[Chart actions] メニューから実行できるアクションの詳細については、「ダッシュボードでチャートを操作する」を参照してください。

ログチャートの詳細のフライアウトからグローバルデータのリンクにアクセスする

デフォルトでは、Splunk Infrastructure Monitoring は、ログチャートの詳細フライアウトにグローバルデータリンクを自動的に作成して表示します。これらのグローバルデータリンクにアクセスするには、ログチャートの行を選択し、[Fields] セクションを表示します。

次のスクリーンショットは [K8s pod logs] チャートの詳細フライアウトのデータリンクの例を示しています。この例では、[default] は、ポッドが属する Kubernetes ネームスペース名です。[default] データリンクを選択すると、Kubernetes ネームスペースナビゲータに移動します。

ログチャートの詳細フライアウトに表示されるように追加のグローバルデータリンクを設定するには、「グローバルデータリンクを使用して、メタデータを関連リソースにリンクする」を参照してください。

同じダッシュボード上でログチャートとメトリクスチャートを合わせる

ダッシュボード上でシームレスに操作するには、ログフィールドと対応するメトリクスフィールドに同じフィールド名を使用する必要があります。フィールド名が一致していない場合は、ログフィールドにエイリアスを適用することでフィールド名が一致するようにできます。

ログデータをメトリクスデータと整合させるには、以下の手順に従います:

  1. 問題の原因を特定するために使用しているダッシュボード上で、メトリクスチャート上の関心のあるフィールド名をメモしてください。

  2. Log Observer で、対応するログフィールドで同じフィールド名が使用されているかどうかを確認します。一致しない場合は、メトリクスチャートが使用するのと同じフィールド名を使用してログフィールドのフィールドエイリアスを作成します。方法については、「フィールドエイリアスの作成」を参照してください。

  3. ダッシュボードに戻り、前のステップで作成した新しいエイリアスを使用してフィールド名で再度フィルタリングします。

  4. ダッシュボードにログデータを追加する」の手順に従って、新しいクエリをチャートとして保存してください。

ログチャートのデータを同じダッシュボード上の他のチャートのデータと効率的に相互参照できるようになりました。同じダッシュボードのメトリクスフィールドに対応するログフィールドでは、同じフィールド名が使用されるようになりました。これにより、問題を迅速にドリルダウンできます。フィールドエイリアスによって元のログフィールド名の名前が変更されたり、削除されたりすることはありません。ログフィールドにエイリアスを適用すると、元の名前または任意のエイリアスで検索できます。