SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

はじめてのSplunk その2:データを検索してみる

データマネジメント
2020.01.16

こんにちは。SB C&Sの岩田です。

「はじめてのSplunk」と題して、これからSplunkの導入や提案をご検討いただく方向けのSplunkの基本的な使い方について複数のブログ記事にまたがってご紹介しています。

--------------------------------

❏ はじめてのSplunk その1:サーチ言語(SPL)とは?
❏ はじめてのSplunk その2:データを検索してみる ★本記事です!
❏ はじめてのSplunk その3:フィールドを抽出する
❏ はじめてのSplunk その4:ダッシュボードを作ってみる
❏ はじめてのSplunk その5:Splunk Appsとは

--------------------------------

"その1 :SPLとは?"ではSplunk独自のサーチ言語であるSPLについてご紹介しました。
本記事では"その2:データを検索してみる"ということで、よく使うSPLを活用したデータ検索方法についてご紹介します。

Splunkでデータを検索するにはSPLというサーチ言語と利用する、という事は前の記事にてご紹介させていただきましたが、SPLを使ったデータ検索の仕方についておさらいしたいと思います。

データ検索1.PNG

上の画像はデータ検索の処理の流れについて説明しているものですが、この例でどんな処理が行われているかというと、
1.sourcetype+フリーワードでデータを絞る ※ワイルドカード(*)を使うことであいまい検索もできます!
2.topコマンドを使った指定フィールドの上位数の集計
3.サーチ結果からパーセンテージの表示の削除
これらが実行されています。

このように、データ検索の際にはいくつかのコマンドを組み合わせることでより詳細なデータ検索を可能にしているのですが、
よく使うSPLコマンドを覚えておけば、とてもスムーズに検索できるようになります。

今回のブログでは、この"よく使うSPLコマンド"をいくつかご紹介したいと思います。

❏ statsコマンド

statsコマンドは主に統計情報の集計値を検索するために利用するコマンドで、とてもよく使うコマンドです。
countavg などの関数を加えて検索を行います。
下記がstatsコマンド例と出力される結果の補足説明です。

データ検索2.PNG

その他statsコマンドの関数はこちらを参照してください。
https://docs.splunk.com/Documentation/Splunk/latest/SearchReference/Stats

❏ chart/timechartコマンド

chartコマンドも統計情報の集計値を検索するために利用するコマンドでstatsコマンド同様、関数を使います。
statsコマンドとの違いはチャート形式の結果表示ができる点が挙げられます。
timechartコマンドは時系列別のチャート形式結果表示ができます。
下記がchart/timechartコマンド例と出力される結果の補足説明です。

データ検索4.PNG

ちなみに3つ目の例では span という関数を使っていますが、 span を使う事で時系列の時間間隔を指定することができます。

その他chart/timechartコマンドの関数はこちらを参照してください。
https://docs.splunk.com/Documentation/Splunk/latest/SearchReference/Chart
https://docs.splunk.com/Documentation/Splunk/latest/SearchReference/Timechart

❏ top/rareコマンド

top/rareコマンドは、指定フィールドの検索結果の件数からtopコマンドで上位/rareコマンドで下位値を集計するコマンドです。
下記がtop/rareコマンド例と出力される結果の補足です。

データ検索5.PNG

top/rareコマンドはデフォルトで上位/下位10件の結果が表示されるようになっていますが、
limit コマンドを使う事で表示件数の指定をするこも可能です。
2つ目と3つ目の例では limit コマンドを使った件数指定をしています。

❏ sortコマンド

sortコマンドは、昇順/降順に検索結果を表示させるコマンドです。
下記がsortコマンド例と出力される結果の補足説明です。

データ検索6.PNG

sortコマンドの後に - をつけると多い順(降順)でソートされ、 - をつけないと小さい順(昇順)にソートされるようになります。

❏ その他コマンド(比較演算子)

SPLコマンド以外にも比較演算子も利用でき、演算子を用いる事でより柔軟な検索ができます。

データ検索7.PNG

本記事ではよく使うSPLコマンドを一部を解説・ご紹介させていただきました。
もっとSPLを知りたい!という方はSplunk社が提供している日本語リファレンスも参考にしてみてください。
https://www.splunk.com/pdfs/solution-guides/splunk-quick-reference-guide-jp.pdf

まとめ

SPLだけで見るととっつきにくい印象を持たれるかもしれませんが、よく使うコマンドを中心に覚えておけば、データ検索だけでなくデータ分析まで簡単に行うことができます。

次回のブログでは、取り込んだログデータの中からフィールド値を抽出する方法についてご紹介したいと思います。

最後までお読みいただきありがとうございました!

案件相談_splunk.png

著者紹介

SB C&S株式会社
技術統括部 第2技術部 2課
岩田 潤子