Splunk Enterprise 6.2.0 データモデルとピボットチュートリアル

Splunk Enterprise 6.2.0
データモデルとピボットチュートリア
ル
作成：2015 年 1 ⽉ 7 ⽇午前 8 時 36 分
Copyright (c) 2015 Splunk Inc. All Rights Reserved
Table of Contents
はじめに
データモデルとピボットチュートリアル
このチュートリアルの要件
Splunk Web 内の移動⽅法
3
3
3
4
パート 1：Splunk Enterpri se へのデータの取り込み
Splunk へのチュートリアルデータの取り込み
Splunk へのルックアップファイルの追加
5
5
7
パート 2：データモデルの作成
データモデルとデータモデルオブジェクトについて
新しいデータモデルの作成
データモデルのルートオブジェクトの定義
属性リストの編集
⼦オブジェクトの定義
11
11
12
13
15
19
パート 3：ピボットレポートの設計
ピボットについて
ピボットの作成と保存
ピボットテーブルの作成
ピボットグラフの作成
21
21
23
26
30
パート 4：ダッシュボードの作成
ダッシュボードについて
ピボットのダッシュボードへの追加
34
34
35
次のステップ
データモデルとピボットリソースの詳細
40
40
はじめに
データモデルとピボットチュートリアル
このチュートリアルは、Splunk Enterprise へのデータの取り込み、チュートリアルデータからの簡単なデータモ
デルの構築、データモデルからの新たなピボットの作成について説明していきます。
このチュートリアルの前提条件
このチュートリアルは、Splunk Enterprise をすでにダウンロード、インストールしており、その起動⽅法を理解
していることを前提にしています。製品のインストールと起動⽅法については、『サーチチュートリアル』の以下
のトピックを参照してください。
Linux、Windows、または Mac OS X への Splunk Enterprise のインストール
Splunk Enterprise の開始と Splunk Web の起動
このチュートリアルの内容
このチュートリアルの各セクションに記載されている事項を以下に⽰します。
『はじめに』では、このチュートリアルを完了するための前提条件とシステム要件を説明しています。ま
た、Splunk Enterprise とピボットを使⽤するためのインターフェイスである Splunk Web についても説
明しています。
パート 1：「パート 3：Splunk Enterprise へのデータの取り込み」では、Splunk Enterprise に
チュートリアル・データを取り込む⽅法を説明しています。この章に含まれている、ダウンロードする
チュートリアルデータは、架空のオンラインゲームストアの Web サーバーと MySQL のログで構成されて
います。
「パート 2：データ・モデルの作成」では、新しいデータ・モデルの作成、ルート・オブジェクトの定
義、オブジェクト属性の編集、⼦属性の定義について説明していきます。
「パート 3：ピボット・レポートの設計」では、ピボット・テーブルおよびグラフの作成と保存について
説明していきます。
パート 4：「パート 4：ダッシュボードの作成」では、新しいダッシュボードの作成、および新しいまた
は既存のダッシュボードへのピボットの追加について説明していきます。
PDF を作成
このマニュアルの PDF 版が欲しい場合は、このページの⽬次の左下にある⾚い [Download the Data Model
and Pivot Tutorial as PDF ] リンクをクリックしてください。
このチュートリアルの要件
このチュートリアルを開始する前に、Splunk バージョン 6.0 以上をダウンロード、インストールして、起動する
必要があります。ここでは、システム上で Splunk を実⾏するための要件と、Splunk ライセンスについて知って
おく必要がある情報を説明していきます。
すでに動作中の Splunk サーバー・インスタンスにアクセスできる場合は、この章をスキップして「パート 1：
Splunk Enterprise へのデータの取り込み」を参照してください。
システム要件
Splunk Enterprise は、Linux、UNIX、Windows、および Mac OSなど、数多くのコンピューティングプラット
フォーム上で動作します。このチュートリアルでは、表に記載されている仕様を満たすコンピュータまたはラップ
トップが必要です。
プラットフォーム
サポートする最低ハードウェア要件
Windows 以外のプラットフォーム 1x1.4 GHz CPU、1 GB RAM
Windows プラットフォーム
Pentium 4 または同等の 2GHz CPU、2GB RAM
マシン上に Splunk をインストールしたら、Web ブラウザを使ってアクセスします。Splunk 6.0+ は、最新版の
Firefox、Chrome、および Safari ブラウザをサポートしています。
これは、Splunk Enterprise システム要件のスナップショットです。『インストールマニュアル』の「システム要
件」を参照してください。
最新版の Splunk Enterprise のダウンロード
Splunk.com のダウンロードページから、最新版の Splunk Enterprise をダウンロードしてください。
Splunk.com にログインしていない場合、ダウンロードパッケージをクリックすると、登録⽤フォームが表⽰され
ます。Splunk.com のアカウントをまだお持ちでない場合は、まず登録してください。
このチュートリアルは、Linux、Windows、および Mac OS X を対象にしています。また、各 OS 固有の機能を
各所で説明しています。
3
Linux 版の Splunk には、RedHat ⽤ RPM ダウンロード、Debian Linux ⽤ DEB パッケージ、および tar
ファイルインストーラの 3 種類のオプションが⽤意されています。このチュートリアルでは、これらの任
意のインストーラを使⽤できます。
Windows 版のインストーラは、MSI ファイルと圧縮形式の zip ファイルの 2 種類が⽤意されていま
す。このチュートリアルでは、MSI ファイルのインストーラを使⽤します。
Mac OS X インストーラは、DMG パッケージおよび tar ファイルインストーラの 2 種類が⽤意され
ています。このチュートリアルでは、DMG パッケージのグラフィカルなインストーラを使⽤します。
Splunk のライセンス
Splunk ライセンスは、ご利⽤の Splunk インスタンスが 1 ⽇あたりにインデックスを作成するデータ量を制限
しています。Splunk は Enterprise ライセンスまたは Free ライセンスで動作します。初めて Splunk をダウン
ロードした場合は、60 ⽇間有効な Enterprise トライアルライセンスが付いています。このトライアルライセン
スでは、サーバーは 500 PM/⽇のインデックスを作成でき、すべての Enterprise 機能を利⽤できます。詳細
は、『管理マニュアル』の「Splunk ライセンスの種類」を参照してください。
次のステップ
次のトピックでは、Splunk Web 内でのビューの移動⽅法について説明します。
Splunk Web 内の移動⽅法
Splunk Web は、Splunk Enterprise のグラフィカルユーザーインターフェイスです。ここでは、このチュートリ
アルを完了するために必要な、Splunk Web 内のページの探し⽅を説明していきます。
Splunk ホームの検索
Splunk ホームは、Splunk インスタンスからアクセスできる App とデータ向けの対話型ポータルです。
新たに Splunk をインストールした場合、Splunk Enterprise への初回ログイン時には Splunk ホームが表⽰され
ます。それ以外の場合は、[サーチとレポート] App の [サーチ] または [ピボット] ビューなどの、他のビューを
表⽰するように設定されていることがあります。
他のビューから Splunk ホームに戻るには、Splunk バーにある Splunk ロゴをクリックします。
Splunk バーの使⽤
Splunk バーは、Splunk Web 内のすべてのページで共通しています。このチュートリアルでデータモデルやピ
ボットの作成時には、これを使って各エディタビュー間を切り替えることができます。
App
[App] パネルには、Splunk インスタンス上にインストールされている、表⽰する権限がある App が表⽰されま
す。リストから App を選択すると、それを開けます。
Splunk Enterprise を標準インストールした場合、当初 1 つの App [サーチとレポート] がワークスペースに表⽰
4
されています。複数の App が表⽰されている場合、ワークスペース内の App をドラッグアンドドロップして配
置を変更することができます。
このパネルでは、2 種類の操作を⾏えます。
Splunk インスタンスにインストールされている App を表⽰、管理するには、ギア・アイコンをクリックし
ます。
インストールする他の App を参照するには、プラス・アイコンをクリックします。
データ?モデルおよびピボットのエディタは、[サーチとレポート] App の⼀部です。
Splunk Enterprise の探索
[Splunk Enterprise の探索] パネルには、Splunk Enterprise の使⽤を開始するために役⽴つオプションが⽤意さ
れています。各種アイコンをクリックして、[データの追加] ビューを開く、新しい App を参照する、Splunk
Enterprise ドキュメントを開く、Splunk Answers を開く、などの作業を⾏えます。
次のステップ
次のトピックでは、Splunk Enterprise インスタンスへのチュートリアルデータの追加⽅法を学習します。
パート 1：Splunk Enterprise へのデータの取り込
み
Splunk へのチュートリアルデータの取り込み
このトピックでは、チュートリアル⽤データセットのダウンロードおよびそのデータの Splunk Enterprise への
追加⽅法について説明していきます。このチュートリアルは数時間ほどで完了できますが、数⽇間に渡って学習す
ることもできます。その場合は新たなサンプルデータをダウンロードして Splunk に追加してください。
サンプルデータファイルのダウンロード
ここでは、チュートリアル⽤データファイルをダウンロードしても、解凍はしないでください。
http://docs.splunk.com/images/Tutorial/tutorialdata.zip
このチュートリアル⽤データファイルは毎⽇更新され、過去 7 ⽇間のタイムスタンプがあるイベントを表してい
ます。
Splunk Enterprise へのサンプルデータの取り込み
1. Splunk にログインします。
現在 Splunk ホームにいない場合は、Splunk バーにある Splunk ロゴをクリックして Splunk ホームに戻りま
す。
2. [Splunk Enterprise 探索] で、[データの追加] をクリックします。
[データの追加] ビューが表⽰されます。[データの追加] には、データを追加するための 3 つのオプションがあ
り、⼀般的なデータ・タイプが記載されています。また、Splunk Enterprise のデータ追加 (取り込み) 機能を拡
張するアドオンも⽤意されています。
3. [データの追加⽅法は？] で、[アップロード] をクリックします。
5
4. [ソースの選択] で、[ファイルの選択] をクリックしてチュートリアル・データを参照するか、ボックスにデー
タ・ファイルをドロップします。
チュートリアル・データ・ファイルはアーカイブされたデータ・ファイルなので、データの追加ワークフローの次
のステップが [ソースタイプの設定] から [⼊⼒設定] に変化します。
5. [次へ] をクリックして、[⼊⼒設定] の作業を続⾏します。
[⼊⼒設定] では、ホスト、ソースタイプ、およびインデックスのデフォルト設定に優先する設定を定義すること
ができます。
6. パス名の⼀部を使ったホスト名を割り当てるには、ホスト設定を変更します。
6.1. メニューから、[セグメントパス] を選択します。
6.2. セグメント番号に 1 を⼊⼒します。
7. ⼊⼒設定をレビューするには、[次へ] をクリックします。
6
8. [実⾏ ] をクリックします。
9. データが正常に追加されたことを確認するには、[サーチ開始] をクリックします。
[サーチ] ビューが表⽰され、チュートリアル・データ・ソースのサーチが実⾏されます。
次のステップ
このチュートリアルの⼀部の例では、外部ルックアップテーブルからのデータが必要になります。Splunk にデー
タを追加したら、次のトピックで Splunk へのルックアップ・テーブルの追加⽅法を学習してください。
Splunk へのルックアップファイルの追加
このチュートリアルで作成するデータモデルとピボットには、外部ルックアップファイルのいくつかのフィールド
が必要になります。ここでは、必要なルックアップの Splunk への追加、および新しいルックアップ定義の作成⽅
法について説明していきます。
7
フィールドのルックアップにより、イベントデータ内のフィールドとマッチする外部 CSV ファイル内のフィール
ドを参照することができます。このマッチを使⽤して、より有益な情報やサーチ可フィールドを各イベントに追加
することで、データの価値をさらに⾼められます。
ルックアップ定義の作成 (および CSV ファイルのアップロード) ⽅法の詳細は、「フィールドルックアップを使っ
たイベントへの情報の追加」を参照してください。
ルックアップファイルのダウンロード
以下のファイルをダウンロードして解凍します。
http://docs.splunk.com/images/d/db/Prices.csv.zip
このファイルは、Buttercup Games チュートリアル⽤データ内に存在している
と価格にマップします。
productId
フィールドを、商品名
ルックアップの使⽤
1. Splunk バーで、右上にある [設定] をクリックします。
2. [ナレッジ] で、[ルックアップ] をクリックします。
ルックアップエディタが表⽰されます。ここから、新しいルックアップの作成や既存のルックアップの編集作業を
⾏えます。
[ルックアップテーブルファイル] 、[ルックアップ定義] 、および [⾃動ルックアップ] のテーブル内のリンクを
クリックして、既存のルックアップを表⽰、編集することができます。
ルックアップテーブルファイルのアップロード
1. ルックアップ管理で、ルックアップテーブルファイルの [アクション] から、[新規追加] をクリックします。
[新規追加] ルックアップ・テーブル・ファイルビューに移動します。ここでは、フィールド・ルックアップに使
⽤する CSV ファイルをアップロードすることができます。
8
2. ルックアップテーブルファイルをサーチ App に保存するには、宛先 App をサーチのままにします。
3. [ルックアップファイルのアップロード] で、アップロードする CSV ファイル (prices.csv) を選択します。
4. [宛先ファイル名] で、ファイル名として prices.csv を指定します。
この名前を使ってルックアップ定義内でファイルを参照します。
5. [保存 ] をクリックします。
ルックアップファイルがサーチ App にアップロードされ、ルックアップテーブルファイルリストに返されます。
注意： Splunk がファイルを認識またはアップロードしない場合、もう⼀度アップロードする前に、ファイルが解
凍されていることをご確認ください。
ルックアップテーブルファイルのグローバルな共有
ルックアップファイルが共有されていない場合、ルックアップの定義時にそれを選択することはできません。
1. [ルックアップテーブルファイル] リストに移動します。
2. prices.csv ルックアップテーブル [パス] の [共有] の下で、[権限] をクリックします。
prices.csv ルックアップテーブルの [権限] ダイアログボックスが表⽰されます。
3. [オブジェクトの表⽰先] から、[すべての App] を選択します。
4. [保存 ] をクリックします。
これで、ルックアップ・テーブルはグローバル権限で共有されます。
フィールドルックアップ定義の追加
9
1. ルックアップ管理に戻ります。
2. ルックアップ定義の [アクション] で、[新規追加] をクリックします。
これにより、[新規追加] ルックアップ定義ビューに移動します。ここでは、フィールドルックアップを定義でき
ます。
3. [宛先 App] は [サーチ] のままにします。
4. ルックアップの名前を prices_lookup にします。
5. [タイプ] で、[ファイルベース] を選択します。
ファイルベースのルックアップは、静的テーブル (⼀般的には CSV ファイル) からフィールドを追加します。
6. [ルックアップファイル] で、[prices.csv] (ルックアップテーブル名) を選択します。
7. [時間ベースのルックアップの設定] および [詳細オプション] は選択解除状態のままにします。
8. [保存 ] をクリックします。
これにより、prices_lookup がファイルベースのルックアップとして定義されます。
すべての App でのルックアップ定義の共有
1. [ルックアップ定義] リストに戻ります。
2. prices_lookup の [共有] で、[権限] をクリックします。
prices.lookup の [権限] ダイアログボックスが表⽰されます。
3. [オブジェクトの表⽰先] から、[すべての App] を選択します。
4. [保存 ] をクリックします。
10
これで、prices_lookup はグローバル権限で共有されます。
次のステップ
次のセクションに進んで、データモデルの概要と作成⽅法について学習します。
パート 2：データモデルの作成
データモデルとデータモデルオブジェクトについて
この章の各トピックでは、データモデル作成機能を使った、チュートリアル⽤データのデータモデルの設計、作成
⽅法について説明していきます。
データモデルとは？
データモデルは 1 つまたは複数のデータセットに関する、意味的ナレッジのサーチ時マッピングで、階層構造に
なっています。データセットに対するさまざまな特殊サーチを作成するために必要な、ドメインナレッジをエン
コードします。簡単に⾔うと、データモデルはサーチを⽣成します。これらの特殊サーチは、その後 Splunk がピ
ボットユーザー向けの、レポートを⽣成するために⽤いられます。
効果的なデータモデルを作成するためには、データソース (データがログファイル、TCP/UDP ⼊⼒、または API
のスクリプト⼊⼒から取得されたかどうかなど) およびデータのセマンティクス (データ内の各種フィールドがど
のように抽出、関連付け、編成されているか) を正しく理解する必要があります。この情報は、データモデルの
アーキテクチャに影響します。
データモデルは、事前に [設定] で設定した、または直接 props.conf および transforms.conf を編集して指定し
た、抽出からフィールドを取得することができます。ただし、データモデルを定義する場合、正規表現ベースの
抽出、ルックアップ、および eval 式を利⽤して、サーチ時に追加のフィールドを取得するように設定することも
できます。
このチュートリアルでは、データソースは Web アクセスログとセキュリティログファイルになります。⼤部分の
フィールドは⾃動的に抽出されます。その他のフィールドは、ルックアップファイルおよび計算された eval 式を
使って追加されます。
データモデルオブジェクトについて
データモデルは、1 つまたは複数のオブジェクトから構成されています。各オブジェクトは、ある意味でインデッ
クス内の⼀連のデータに対応するデータセットです。オブジェクトは、イベント・オブジェクト、サーチ・オブ
ジェクト、トランザクション・オブジェクト、および⼦オブジェクトの 4 つの種類に分類できます。
データモデル内のオブジェクトは、親/⼦関係で配置することができます。各トップレベル/ルートオブジェクトは
複数の⼦オブジェクトを保有できます。⼦オブジェクトは親の制約と属性を継承し、また追加で独⾃の制約と属性
を保有します。
注意：データモデルオブジェクトは、ナレッジオブジェクトのカテゴリです。ただし、データモデルは抽出され
たフィールド、計算済みフィールド、ルックアップなどの他のナレッジオブジェクトを使⽤して、特定のデー
タセットを定義しています。
オブジェクトの制約
すべてのデータモデルオブジェクトは、⼀連の制約で定義されます。制約は、オブジェクトに関連しないイベント
を排除して、そのオブジェクトが表すデータセットの定義を⽀援します。⼀般的な制約は、パイプの前に最初の
サーチ部と、追加のサーチコマンドから成り⽴っています。
各⼦オブジェクトがその親オブジェクトが表しているデータのサブセットを表すように、制約は⼦オブジェクトに
継承されます。ピボットユーザーはこれらの⼦オブジェクトを使⽤して、事前にフィルタリングされた外部データ
を持つデータセットからレポートを設計できます。
オブジェクトの属性
オブジェクトの属性は、オブジェクトが表すデータセットに関連付けられた⼀連のフィールドです。オブジェクト
属性は、⾃動抽出、eval 式、ルックアップ、正規表現、および Geo IP の 5 種類から取得されます。
オブジェクト属性は継承されます。⼦オブジェクトは、親オブジェクトに所属するすべての属性を⾃動的に保有す
ることになります。特定のオブジェクトツリーに必要な属性すべてを、そのルートオブジェクトに定義して、⼦オ
ブジェクトの制約でそれぞれを差別化する、⽐較的単純なデータモデルを作成することができます。
属性は、さまざまな⽬的で⽤いられます。属性は、まずピボットユーザーがピボットレポートの定義と⽣成に利⽤
する⼀連のフィールドを提供しています。アクセスできるフィールドセットは、ピボットで選択したオブジェクト
により決まります。属性を⼦オブジェクトに追加して、そのオブジェクトがカバーするデータセット固有のフィー
ルドをピボットユーザーに提供することができます。
データモデルの詳細を学習
このトピックで取り上げている情報は、チュートリアル⽤データのデータモデルを作成するために必要な知識に限
定されています。詳細については、『ナレッジ管理』の「データモデルについて」および「データモデルオブジェ
クトの設計」を参照してください。
11
次のステップ
次のトピックでは、新しいデータモデルの作成⽅法を学習します。
新しいデータモデルの作成
このトピックでは、チュートリアル⽤データに基づく新しいデータモデルの作成⽅法を説明していきます。データ
モデルは、ピボット内で作成します。また、データモデルの作成には admin または power ロールが必要です。
データモデル作成のためにロールを有効にする
デフォルトでは、admin または power ロールを持つユーザーのみがデータモデルを作成できます。他のユーザー
の場合、データモデルを作成できるかどうかは、各⾃のロールが、使⽤している App の「書き込み」アクセスを
保有しているかどうかによって決まります。今回は初回インストールのため、デフォルトで admin 権限を保有し
ており、そのまま作業を続⾏できるはずです。
データモデルを作成または編集できない場合は、権限を確認する必要があります。詳細は、『ナレッジ管理』の
「タグとエイリアスについて」を参照してください。
データ・モデル管理ページに移動します。
1. Splunk バーで、[設定] をクリックします。
2. [ナレッジ] で、[データ・モデル] をクリックします。
[データ・モデル] 管理ページに移動します。[データモデルの管理] ページには、データモデルの⼀覧が表⽰され
ています。この Splunk Enterprise インスタンスに既存のデータ・モデルがある場合、それがこのページに表⽰
されます。このページを使って、既存のデータ・モデルの権限の管理、⾼速化、複製、削除などの作業を⾏えま
す。このページを使って、データ・モデルのアップロードや新しいデータ・モデルの作成を⾏うこともできます。
そのためには、それぞれ右上にある [データ・モデルのアップロード] および [新しいデータ・モデル] ボタン
を使⽤します。
新しいデータモデルの作成
1. データモデル管理ページで、[新しいデータモデル] をクリックします。
[新しいデータモデル] ダイアログボックスが表⽰されます。
12
2. タイトルとして「Buttercup Games」と⼊⼒します。
[タイトル] フィールドでは、任意の⽂字とスペースを使⽤できます。ここに⼊⼒した値が、データモデル⼀覧ペー
ジに表⽰されます。
3. (オプション) ID として「Tutorial」と⼊⼒します。
ID を⼊⼒/変更しない場合は、⾃動的に「Buttercup_Games」が使⽤されます。
ID は、データモデルに対して⼀意でなければなりません。スペースを⼊れることはできません。または英数字、
アンダースコア、またはハイフン (a〜z、A〜Z、0〜9、_、または -) 以外の⽂字は使⽤できません。⽂字の間に
スペースを使⽤することもできません。いったんデータモデル ID を定義したら、その後変更することはできませ
ん。
4. [App] の隣りで、メニューから [サーチとレポート] を選択します。
5. (オプション) 説明として、「Enables data analysis and reporting for tutorial data.」と⼊⼒します。
6. [作成] をクリックします。
Buttercup Games の [オブジェクトの編集] ページを表⽰します。
このページを使って、新しいデータ・モデルのオブジェクトの作成、制約と属性の定義、論理階層内へのオブジェ
クトの配置と管理作業を⾏えます。
次のステップ
次のトピックでは、Buttercup Games データモデルにルートオブジェクトを追加する⽅法を学習します。
データモデルのルートオブジェクトの定義
前のトピックでは、データモデル「Buttercup Games」を作成しました。
このトピックでは、Buttercup Games での商品購⼊に関するルートオブジェクトの追加⽅法を説明していきま
す。
データモデルオブジェクトの編集
1. [データモデル] リストから、[Buttercup Games] をクリックします。
Buttercup Games オブジェクトのエディタビューが表⽰されます。
13
新しいデータモデルの設計または既存のデータモデルの再設計には、[オブジェクトの編集] ページを使⽤します。
[オブジェクトの編集] ページでは、データモデル⽤オブジェクトの作成、制約と属性の定義、論理オブジェクト階
層への配置と管理作業を⾏えます。
ルートオブジェクトの追加
⼀般的にデータモデルは、ルートイベントオブジェクト上に構築されたオブジェクト階層から成り⽴っています。
各ルートイベントオブジェクトが、制約で定義された⼀連のデータを表しています。制約は、オブジェクトに関連
しないイベントをフィルタリングするための、単純なサーチです。
Buttercup Games Web サイトで⾏われた購⼊リクエストを追跡するオブジェクトを作成してみましょう。
1. データモデルの最初のイベントベースオブジェクトを定義するには、[オブジェクトの追加] をクリックしま
す。
最初のルートオブジェクトは、[ルートイベント] または [ルートサーチ] になります。
2. [ルートイベント] を選択します。
[イベントオブジェクトの追加] ページに移動します。
3. オブジェクト名として、「Successful Purchases」と⼊⼒します。Purchase Requests
[オブジェクト名] フィールドでは、任意の⽂字とスペースを使⽤できます。ここに⼊⼒した⽂字列が、[オブジェ
クトを選択してください] ページやデータモデルオブジェクトが記載される他の場所に表⽰されます。
4. オブジェクト名として、「Successful Purchases」と⼊⼒します。Purchase_Requests
[オブジェクト名] を⼊⼒すると、この⽂字列が⾃動的に設定されます。必要に応じてこの値を変更することができ
ます。
[オブジェクト ID] は、オブジェクトに対して⼀意でなければなりません。スペースを⼊れることはできませ
ん。または英数字、アンダースコア、またはハイフン (a〜z、A〜Z、0〜9、_、または -) 以外の⽂字は使⽤でき
ません。⽂字の間にスペースを使⽤することもできません。オブジェクト ID を保存した後に、値を変更すること
はできません。
5. 次のサーチ制約を⼊⼒します：
sourcetype=access_* action=purchase
これは、購⼊イベントである Web ページアクセスリクエストを定義するものです。
イベントベースオブジェクトの [制約] を⼊⼒したら、[プレビュー] をクリックして、指定した制約で⽬的のイベ
ントが正しく返されるかどうかをテストすることができます。
14
6. [保存 ] をクリックします。
ルートオブジェクトの属性のリストには、host、source、sourcetype、および _time が含まれています。クライ
アントおよびサーバーエラーに⼦オブジェクトを追加する場合は、属性リストを編集して必要な属性を追加する必
要があります。
次のステップ
次のトピックに進んで、[Purchase Requests] にその他の属性を追加してみましょう。
属性リストの編集
⾃動抽出属性の追加
1. [Buttercup Games] のオブジェクトエディタで、[属性の追加] をクリックします。
2. [⾃動抽出] を選択します。
[⾃動抽出フィールドの追加] ウィンドウが表⽰されます。
15
属性タイプ [⾃動抽出] は、Splunk がサーチ時に抽出するフィールドです。これは、Splunk がそのまま⾃動抽
出するフィールド (デフォルトフィールドなど)、または Splunk 管理で定義または props.conf および
transforms.conf に設定した抽出フィールドになります。
3. ⾃動抽出されるフィールドのリストをスクロールして、action、categoryId、productId、および
ドを選択します。
status
フィール
フィールドの [タイプ] 下で、データタイプが [数値] であることを確認してください。また、[オプション]
のままにしておくことができます。
status
オブジェクト属性は、[必須]、[オプション]、[⾮表⽰]、または [⾮表⽰と必須] にすることができます。[オプショ
16
ン] は、属性がオブジェクトが表している各イベントに存在する必要はないことを意味しています。属性は⼀部の
オブジェクトイベントに存在し、他のイベントには存在しない場合もあります。
4. [保存 ] をクリックします。
ルックアップテーブルからのルックアップ属性の追加
ルックアップ属性を作成するためには、ルックアップ管理で、最低 1 つのルックアップ定義を作成する必要があ
ります。ルックアップ定義は、ルックアップテーブルの場所とそれへの接続⽅法を Splunk に指⽰します。ルック
アップ定義を作成すると、Splunk は指定された属性の値をルックアップテーブル内のフィールド値と照合し、対
応するフィールド/値のペアをオブジェクトに、ルックアップ属性として適⽤します。
注意：フィールドルックアップは、このデータモデルオブジェクトを編集する前にアップロードして定義してお
く必要があります。ここでは、すでに prices.csv ルックアップテーブルを追加して、price_lookup を定義してる
はずです。まだそうしていない場合は、前のトピックに戻って作業を⾏ってから次に進んでください。
また、ルックアップ属性は、⾃動ではないルックアップ定義から追加されます。⾃動ルックアップを定義した場合
は、フィールドはイベントに⾃動的に追加されます。この場合、⾃動抽出属性として追加できます。
1. Purchase Requests オブジェクトの、Buttercup Games オブジェクト・エディタに戻ります。
2. [属性の追加] をクリックして、[ルックアップ] を選択します。
[ルックアップで属性を追加] ページが表⽰されます。
3. [ルックアップテーブル] で、[prices_lookup] を選択します。
prices_lookup ファイルには、分かりやすい製品名と Buttercup Games Web サイトで販売された各商品の料⾦
が存在しています。これらのフィールドを Purchase Requests オブジェクトに追加するには、ルックアップ属性
を設定する必要があります。csv ルックアップテーブルには、以下のようなヘッダー値があります。
productId,product_name,price,sale_price,Code
DB-SG-G01,Mediocre Kingdoms,24.99,19.99,A
4. [⼊⼒] で、[ルックアップ内のフィールド] と [属性] に対して
productId
を選択します。
[ルックアップ内のフィールド] には、csv ルックアップテーブル内で使⽤されるフィールド名を指定しま
す。[属性] には、イベントデータ内で使⽤されるフィールド名を指定します。このルックアップで、フィールド
は同じ名前を持っています。
17
5. [出⼒] で、product_name および price フィールドを選択します。
ルックアップ・テーブルのヘッダー⾏から読み込まれる出⼒フィールドは、[フィールド名] に表⽰されます。各
フィールドの表⽰名を⼊⼒することができます。表⽰名は、イベント内のフィールドに対して使⽤される名前で
す。
productId は、イベントとルックアップ・テーブル間の照合に使⽤されるフィールドのため、その表⽰名を変更
することはできません。
6. product_name に対して、[表⽰名] に「productName」を⼊⼒します。price に対して表⽰名に「price」
と⼊⼒し、[タイプ] を[数値] に設定します。
7. 追加するフィールドを確認するには、[プレビュー] をクリックします。
テーブルにイベントを表⽰する、または [出⼒] で選択した各フィールドの値を参照するには、タブを使⽤しま
す。たとえば、この画⾯は productName の値を表しています。
18
8. [保存 ] をクリックします。
次のステップ
ルートオブジェクトを作成して、必要な属性を追加したら、⼦オブジェクトを追加できます。
⼦オブジェクトの定義
⼦オブジェクトは、親オブジェクトの制約と属性をすべて継承します。新しい⼦オブジェクトの定義時には、それ
に新たに 1 つまたは複数の制約を追加して、そのオブジェクトが表すデータセットを絞り込みます。
前のトピックでは、Buttercup Games Web サイトでの購⼊を追跡するために、「Purchase Requests」と⾔う
名前のルートオブジェクトを追加しました。このトピックでは、成功/失敗した購⼊を追跡するための、⼦オブ
ジェクトの追加⽅法を説明していきます。
⼦オブジェクトの追加
1. [Buttercup Games] オブジェクトの編集ページで、[オブジェクトの追加] をクリックして、[⼦] (チャイル
ド) を選択します。
[⼦オブジェクトの追加] ウィンドウが表⽰されます。
19
2. オブジェクト名として、「Successful Purchases」と⼊⼒します。Successful Purchases
3. オブジェクト名として、「Successful Purchases」と⼊⼒します。Successful_Purchases
4. [継承元] で、[Purchase Requests] を選択します。
この設定は、⼦オブジェクトが親オブジェクトの「Purchase Requests 」から、すべての属性を継承すること
を意味しています。
5. [追加の制約] に次の項⽬を⼊⼒します：
status=200
これは、このオブジェクトで⾏われるオブジェクトのサーチが、以下のようなものになることを表しています。
sourcetype=access_* action=purchase status=200
6. [保存 ] をクリックします。
2 番⽬の⼦オブジェクトの追加
ステップ 1〜6 を繰り返して、失敗した購⼊を表す「Failed Purchases」と⾔う名前の⼦オブジェクトを追加し
ます。この⼦オブジェクトは、失敗した購⼊のステータス・コードを定義する、追加の制約を持っています。
失敗した購⼊は、成功しなかったすべてのステータス・コード status!=200、またはクライアント/サーバー・エ
ラー・コード status=40* OR status=50* にすることができます。
⼦オブジェクトオブジェクトは、Purchase Requests ルート・オブジェクトから継承 (継承元 ) する必要があり
ます。
20
次のステップ
データモデルを作成したら、ピボットレポートを⽣成できるようになります。次の章に進んで、ピボットの概要と
ピボットレポートの作成⽅法について学習してください。
パート 3：ピボットレポートの設計
ピボットについて
Splunk Enterprise のピボット・ツールを使って、選択したデータ・モデルのさまざまな側⾯を表すテーブルや
データの視覚エフェクトを持つレポートを、素早く設計することができます。ピボットでは、サーチ処理⾔語を使
⽤せずに、UI インターフェイスを使ってそのようなレポートを⽣成することができます。
ピボットビュー
ピボットは、[サーチとレポート] App の⼀部です。
1. [サーチとレポート] App のナビゲーション・バーで、[ピボット] をクリックします。
ピボット機能に移動すると、[データモデルを選択してください] ページが表⽰されます。ここには、作成された
データモデルの⼀覧が表⽰されます。たとえば、このリストには、このチュートリアルの前半で作成した
Buttercup Games データモデルが含まれています。また、Splunk Enterprise の internal および audit ログを
追跡する、2 つのサンプルデータモデルも含まれています。
ピボットを⼩さなブラウザ・ウィンドウで表⽰している場合、[サーチとレポート] App のナビゲーション・バー
は⾮表⽰になります。ナビゲーション・バーを使⽤するには、右上のメニュー・アイコンをクリックします。ナビ
ゲーション・バーが下にスライドされます。
21
2. [i] 列下の⽮印を使って、Buttercup Games の情報を表⽰します。
[オブジェクトの編集] をクリックすると、Buttercup Games データ・モデルのオブジェクト・エディタに移動
します。
3. [Buttercup Games] をクリックします。
[データ・オブジェクトを選択してください] ビューに移動します。このビューには、このデータ・モデルに対
して作成されたすべてのオブジェクトが表⽰されます。Buttercup Games データ・モデルは、親オブジェクト
Purchase Requests と⼦オブジェクト Successful Purchases および Failed Purchases で構成されています。
4. [i] 列下の⽮印を使って、オブジェクトの情報を表⽰します。
ピボットのコンポーネント
[データ・オブジェクトを選択してください] ビューでオブジェクトを選択すると、そのデータ・モデルの [新し
いピボット] エディタに移動します。
22
視覚エフェクト・タイプ：左側の垂直バーには、各種視覚エフェクトを表すアイコンが表⽰されています。選択
したアイコンにより、作成するピボットや表⽰されるレポート・インターフェイスが異なります。視覚エフェクト
には、統計テーブル (デフォルト)、縦棒グラフ、横棒グラフ、散布図、バブル・グラフ、⾯グラフ、折れ線グラ
フ、円グラフ、単⼀値表⽰、放射状ゲージ、マーカーゲージ、フィラーゲージがあります。
ドキュメント・アクション：上部の⽔平バーには、ドキュメント関連のアクションが表⽰されます。以下のよう
なアクションがあります。
名前を付けて保存...：現在のレポートを新しいレポート ([レポート] ) またはダッシュボードパネル ([ダッ
シュボードパネル] ) として保存します。
消去：インターフェイスを初期状態にリセットします。この場合、保存済みレポート (ある場合)、統計テー
ブルへの視覚エフェクトの変更、およびオブジェクト数の単⼀列値によるレポートの設定、および全時間に
対する時間フィルタ (_time が対象の場合) は解除されます。
データモデルオブジェクト：⼀番右側のボタンです。ラベルは、選択されたデータ・モデル・オブジェク
トから取得されます。たとえば、この画像の場合は「Purchase Requests」になります。このメニューを
使って、データモデルのリストに戻り ([他のデータモデルの選択] )、次にデータモデルオブジェクトのリス
トに移動するか ([他のオブジェクトの選択] )、または選択したデータモデルオブジェクトを編集します
([オブジェクトの編集] )。また、⾼速化を再作成したり、⾼速化ジョブを調査することもできます。
ジョブ・アクション： [⼀時停⽌] および [停⽌] ボタンは、ピボット・ジョブの進捗状況を制御します。他にも
[共有] 、[エクスポート] 、[印刷] 、および[サーチで開く] などのアクションがあります。[サーチで開く] をク
リックすると、[サーチ] ビューが表⽰され、現在のサーチ⽂字列が実⾏されます。
詳細
このトピックは、ピボットインターフェイスにアクセスして、この章の残りの部分でピボットを作成するために必
要な知識を簡単に説明しています。詳細は、『ピボットマニュアル』を参照してください。
次のステップ
次のトピックに進んで、ピボットを使って Buttercup Games データモデルからレポートを作成する⽅法を学習
してください。
ピボットの作成と保存
ここでは、ピボットを使った単純なレポートの作成と保存⽅法について説明していきます。この例では、前の章で
作成したデータモデルオブジェクトを使⽤します。まだ作成していない場合は、「新しいデータ・モデルの作成」
を参照してください。
この例はとても単純です。このチュートリアルの後半では、より複雑な例を取り上げていきます。
23
新しいピボットの作成
レポートを設計する場合、まず対象となるイベントデータを表すデータモデルを選択する必要があります。この
チュートリアルでは、「Buttercup Games」データモデルを使⽤します。
1. App のナビゲーションバーから、[ピボット] を選択して [データモデルを選択してください] ページに移動し
ます。
2. データモデルのリストから、[Buttercup Games] をクリックします。
[データ・オブジェクトを選択してください] ページが表⽰されます。
「Buttercup Games」データモデルには、ゲーム Web サイトの購⼊リクエスト (Purchase Requests) を追跡す
るための、ルートオブジェクトが存在しています。Purchases オブジェクトは、Successful (成功) と Failed (失
敗) に分けられています。
3. [Purchase Requests] を選択します。
Purchase Requests オブジェクトの [新しいピボット] が表⽰されます。
デフォルトで、ピボットエディタには、ピボットテーブルを定義するエレメントが表⽰されます。基本的なピボッ
トエレメントには、フィルタ、⾏の分割、列の分割、および列値の 4 種類があります。特定のオブジェクトに対
して初めてピボットエディタを開いた場合、2 つのエレメントのみが定義されます。
時間範囲フィルタエレメント ([全時間] 設定)
列値エレメント ([ <オブジェクト名> のカウント] 設定)
これにより、全時間に対してオブジェクトが返したイベント数合計が得られます。この場合、この値は購⼊リクエ
スト数 (Count of Purchase Requests) になります。
4. 視覚エフェクトバーから、[単⼀値表⽰] エレメントを選択します。
4.a [ラベルの下] に「Purchase Requests 」と⼊⼒します。
デフォルトで、時間範囲フィルタエレメントは [全時間] に設定されています。
24
単⼀値視覚エフェクト (単⼀値、3 種類のゲージ) は、最初の列値エレメントをその値として使⽤します。こ
こでフィールドは、購⼊リクエスト数を表す「Count of Purchase Requests」を使⽤します。
単⼀値視覚エフェクトは、⾏の分割または列の分割エレメントを使⽤しません。
ピボットをレポートとして保存
ピボットを定義したら、それをレポートまたはダッシュボードパネルとして保存できます。この例では、単⼀値表
⽰をレポートとして保存します。ダッシュボードとダッシュボード・パネルについては、後ほど説明します。
1. [名前を付けて保存...] をクリックして、[レポート] を選択します。
[レポートとして保存] ダイアログボックスが表⽰されます。
2. タイトルとして「Total Purchase Requests」と⼊⼒し、必要に応じて説明も⼊⼒します。
3. [はい] を選択して、タイムレンジピッカーを含めます。(これはデフォルトです。)
4. [保存 ] をクリックします。
レポートが保存されたら、「レポートが作成されました」とのメッセージが表⽰されます。引き続き現在のピボッ
トを編集、ダッシュボードへのピボットの追加、保存済みレポートの設定の変更、またはレポートの表⽰などの作
業を⾏えます。
5. [表⽰] をクリックして、レポートを表⽰します。
保存済みレポートの表⽰
ピボットから作成されたレポートは、常に現在の App および所有者名前空間下に保存されます。
1. App ナビゲーションバーの [レポート] をクリックして、すべての保存済みレポートの⼀覧を表⽰します。
25
2. [i] 列の⽮印を使って、「Total Purchase Requests 」レポートに関する情報を表⽰します。
3. レポート名をクリックして、レポートを表⽰します。
次のステップ
このトピックでは、ピボット機能を使ってレポートを作成、保存しました。次のトピックに進んで、他のピボット
視覚エフェクトを作成してください。
ピボットテーブルの作成
前のトピックでは、ピボットを使って購⼊リクエスト数合計を表⽰し、それを単⼀値表⽰のレポートとして保存し
ました。このトピックでは、ピボットの視覚エフェクトを使って、Total Purchase Requests オブジェクトのピ
ボットテーブルを作成します。
Successful Purchases オブジェクトには、Buttercup Games Web サイトで購⼊された商品に関する属性があり
ます。これには、⾃動抽出された属性 (categoryId と productId)、およびルックアップ属性 (price と
product_name) が含まれます。
Buttercup Games オンラインストアは、多彩なカテゴリの数百種類の商品を販売しており、ここでは先週に購⼊
された商品の詳細を確認していきます。合計購⼊数イベントを製品名で分類し、⼀番購⼊された商品を把握できる
ピボットレポートを作成します。
新しいピボットの定義
1. App のナビゲーションバーから、[ピボット] を選択して [データモデルを選択してください] ページに移動しま
す。
2. 「Buttercup Games 」データモデルを選択して、Successful Purchases ⼦オブジェクトを選択します。
26
「Successful Purchases 」の [新しいピボット] エディタが表⽰されます。
ピボットエレメントの追加
各ピボットエレメントカテゴリから複数のエレメントを追加して、ピボットテーブルを定義することができます。
テーブルに表⽰する情報を決定していく過程で、ピボットエレメントを簡単に追加、定義、削除することができま
す。
ピボットエレメントを追加するには： [+] アイコンをクリックします。エレメントダイアログが表⽰され
ます。ここから属性を選択し、エレメントによる属性の使⽤⽅法を定義できます。
エレメントを調査、編集するには：エレメントの鉛筆型アイコンをクリックします。エレメントダイアロ
グが表⽰されます。
ピボットエレメントを並べ替え、移動するには：ピボットエレメントカテゴリ内のエレメントの順序を変
更するには、エレメントをドラッグアンドドロップします。エレメントカテゴリ間でエレメントをドラッグ
アンドドロップして、エレメントを移動することができます。
ピボットエディタからピボットエレメントを削除するには：エレメントダイアログを開いて、[削除] ボ
タンをクリックするか、またはエレメントが⾚⾊になるまで上または下にドラッグして、⾚くなったらド
ロップします。
[フィルタ] で、ピボットの作成時には常にこの時間フィルタが存在しており、削除することはできません。フィ
ルタは、ピボットが結果を返す時間範囲を定義しています。Splunk Web で使われている時間範囲メニューと動
作は同じです。詳細は、『サーチマニュアル』の「サーチに適⽤する時間範囲の選択」を参照してください。
時間範囲フィルタの変更
現在ピボットテーブルには単⼀値、全時間の範囲で成功した購⼊リクエスト数合計が表⽰されています。
時間フィルタを変更して、別の時間範囲の成功した購⼊数を参照します。
1. [フィルタ] の [全時間] の隣にある鉛筆をクリックすると、タイムレンジピッカーが表⽰されます。
2. [プリセット] と [相対] で、[過去 7 ⽇間] をクリックします。
(何もイベントが表⽰されない場合は、[全時間] を選択してから続⾏してください。)
27
⾏分割エレメントの追加
ピボットエレメントを追加して各商品の成功した購⼊数 (Count of Successful Purchases) を名前別に表⽰する
には：
1. [⾏の分割] で、[+] をクリックして
む、ルックアップフィールドです。
productName
を選択します。これは、productId に基づいた各製品の名前を含
フィールドをフォーマットするためのダイアログボックスが表⽰されます。
2. フィールド名を「Product Name 」に変更して、[テーブルに追加] をクリックします。
列値エレメントの追加
列値を追加して、正常に購⼊された各商品の売上合計を表⽰します。
1. [列値] 下で、[+] をクリックして、[price] を選択します。
28
2. ダイアログボックスで、フィールドをフォーマットします。
2.a ラベルとして「Total Revenue 」と⼊⼒します。
2.b 値の合計を選択します。
これにより、フィールド「Total Revenue 」が作成されます。これは、購⼊が成功した各商品の料⾦合計です。
(このテーブル内の各商品のコストを参照したい場合、他の⾏分割として price の値を追加できます。)
3. [テーブルに追加] をクリックします。
ピボット・テーブルの保存
ピボット・テーブルを、名前が「Purchases by Product 」のレポートとして保存します。
1. [名前を付けて保存] をクリックして、[レポート] を選択します。
2. [レポートとして保存] ダイアログボックスで：
29
2.a [タイトル] に「Purchases by Product」と⼊⼒します。
2.b (オプション) [説明] に「Table of Product Purchases」を追加します。
2.c タイムレンジ・ピッカーを含めます。
3. [保存 ] をクリックします。
4. [レポートが作成されました] ダイアログ・ボックスで、[表⽰] をクリックします。
次のステップ
次のトピックに進んで、いくつかの簡単なピボット視覚エフェクトを作成してください。
ピボットグラフの作成
前のトピックでは、ピボットの視覚エフェクトエディタを使ってテーブルを作成しました。このトピックでは、同
じオブジェクトを使って、グラフ視覚エフェクトを作成していきます。
新しいピボットの定義
1. App のナビゲーションバーから、[ピボット] を選択して [データモデルを選択してください] ページに移動しま
す。
2. 「Buttercup Games 」データモデルを選択して、Successful Purchases ⼦オブジェクトを選択します。
30
「Successful Purchases 」の [新しいピボット] エディタが表⽰されます。
視覚エフェクトは、ピボットエディタの左側にある⿊いサイドバーに記載されています。ピボット機能使⽤開始時
のデフォルトでは、統計テーブル視覚エフェクトが選択されています。
ピボットをまずテーブルとして作成した後に、それを他の視覚エフェクトに切り替えると便利なこともあります。
ピボットの視覚エフェクト・タイプを切り替える場合、その視覚エフェクトの作成に必要なエレメントが識別さ
れ、不要なエレメントは破棄されます。また、エレメントを定義する必要がある場合は、そのことを知らせるメッ
セージが表⽰されます。この処理は、テーブルとグラフ間で切り替えた場合や、ある種類のグラフから別の種類の
グラフに切り替えた場合に⾏われます。
ピボット・エレメントの追加
前のトピックでは、製品 ID および名前別に購⼊商品を⾒てきました。ここでは、成功した購⼊数をカテゴリ別に
表⽰するレポートを作成します。
categoryId
フィールドの [⾏の分割] を追加します。
1. [⾏の分割] 下で、[+] をクリックして、リストから [categoryId] を選択します。
2. ラベル「Category 」を⼊⼒して、[テーブルに追加] をクリックします。
これによって、以下のピボットテーブルが返されます。
31
視覚エフェクト・タイプの変更
1. 視覚エフェクトバーから [縦棒グラフ] アイコンをクリックします。
縦棒グラフの [新しいピボット] エディタが表⽰されます。
縦棒グラフはピボットテーブル定義内の最初の⾏分割エレメントを X 軸値として使⽤します。この場合 [⾏
の分割] は、「Category 」になります。
縦棒グラフはピボットテーブル定義内の最初の列値エレメントを Y 軸値として使⽤します。この場合 [列
値] は、「Count of Successful Purchases 」になります。
32
このデータは、円グラフで表⽰することもできます。
2. 視覚エフェクトバーから [円グラフ] アイコンをクリックします。
円グラフの [新しいピボット] エディタが表⽰されます。
円グラフは、最初の⾏分割エレメント (Category) からの値を使って、スライスの数と⾊を決定します。
円グラフは最初の列値エレメント (Count of Successful Purchases) を使って、各スライスの相対サイズを
決定します。
33
円グラフのスライス上にカーソルを移動すると、測定基準 (Category (カテゴリ)、Count of Successful
Purchases (成功した購⼊数)、およびCount of Successful Purchases (成功した購⼊数) の合計に対する割合) が
表⽰されます。
次のステップ
この章では、3 種類のピボットを作成して、その中の 2 つをレポートとして保存しました。最後のピボットグラ
フは、ダッシュボードパネルとして保存します。次の章に進んで、ダッシュボードについて学習してください。
パート 4：ダッシュボードの作成
ダッシュボードについて
Splunk Enterprise では、XML コードを利⽤せずに、対話操作でダッシュボードを作成、編集することができま
す。
作成したピボットを新規または既存のダッシュボードに追加： [ダッシュボードパネルの作成] 機能を
使って、ピボット視覚エフェクトの作成後に即座ダッシュボードの作成作業を開始できます。この機能は、
サーチに基づいたダッシュボード・パネルの作成⼿順を案内します。作成したパネルは、新しいまたは既存
のダッシュボードに追加できます。作業が完了しても、まだ [ピボット] ビューは表⽰されています。
ダッシュボードエディタを使ったダッシュボードの作成とダッシュボードパネルの追加：ダッシュボー
ドエディタを使って既存のダッシュボードを編集することもできます。このダッシュボード作成⽅法は、⼀
連のダッシュボードパネルのベースにする⼀連のピボットレポートがあるような場合に役⽴ちます。
ダッシュボード権限の変更
ダッシュボードエディタからダッシュボードへのアクセス権を指定できます。ただし、割り当てられているユー
ザーロール (およびそのロールが保有する権限) によっては、定義できるアクセス権が制限されている場合もあり
ます。
ユーザー・ロールが admin (デフォルトの権限を保有) の場合、プライベートなダッシュボード、特定の App 内
で利⽤できるダッシュボード、またはすべての App 内で利⽤できるダッシュボードを作成できます。ま
た、user、admin、および特定の権限を持つ他のロールなど、その他のユーザー・ロールにアクセス権を提供する
ことも可能です。
34
ダッシュボードおよび他のナレッジ・オブジェクトの権限設定の詳細は、『管理マニュアル』の「ナレッジ・オブ
ジェクトの権限の管理」を参照してください。
ダッシュボードパネルの視覚エフェクトの変更
ダッシュボードエディタでパネルを作成したら、ビジュアルエディタを使ってパネルに表⽰する視覚エフェクトタ
イプを変更したり、視覚エフェクトの動作を決定したりできます。ビジュアルエディタでは、パネルに指定されて
いるサーチに⼀致するデータ構造要件を持つタイプの視覚エフェクトのみを選択できます。
視覚エフェクトタイプの概要とその書式設定オプションについては、『ダッシュボードと視覚エフェクト』
の「視覚化リファレンス」を参照してください。
視覚エフェクト・タイプが必要とするデータ構造については、『ダッシュボードと視覚エフェクト』マニュ
アルの「視覚エフェクトのデータ構造要件」を参照してください。
ダッシュボードの XML 設定の編集
ダッシュボードの作成に XML を使⽤する必要はありませんが、ダッシュボードの XML 設定を編集して、ダッ
シュボードのパネルを編集することができます。この⽅法では、ダッシュボード・エディタでは利⽤できない機能
を編集することができます。たとえば、XML 設定を編集してダッシュボード名を変更したり、テーブル内の⾏数
を指定したりできます。
ダッシュボード・エディタで作成されたダッシュボードの XML の編集については、『ダッシュボードと視覚エ
フェクト』マニュアルの「ダッシュボードの例」を参照してください。
ピボットのダッシュボードへの追加
このトピックは、「パート 3：ピボットレポートの設計」の続きです。最後に作成したピボットは円グラフでし
た。このグラフをまだ作成していない場合は、前のトピックに戻って作成してください。ここでは、この視覚エ
フェクトを新しいダッシュボードパネルとして保存し、前に作成したピボットレポートをすべてそのダッシュボー
ドに追加します。
ピボットをダッシュボードパネルとして保存
円グラフを作成したら、それをダッシュボードパネルに保存します。
1. [名前を付けて保存...] をクリックして、[ダッシュボードパネル] を選択します。
[ダッシュボードパネルとして保存] ダイアログが表⽰されます。
2. パネルを保存する新しいダッシュボードを定義します。
[ダッシュボード] で、[新規] をクリックします。
35
ダッシュボードのタイトルとして、「Buttercup Games」を⼊⼒します。ダッシュボード ID が
「Buttercup_games」に更新されます。
(オプション) ダッシュボードの説明として、「Reports on Buttercup Games online shop data」と⼊⼒
します。
3. ダッシュボードパネルを定義します。
パネルのタイトルとして、「Successful Purchases by Category」を⼊⼒します。
[パネル作成] は [インラインサーチ] のままにします。
4. [保存] をクリックします。
ダッシュボードが正常に作成されました。
5. 続⾏するには、[ダッシュボードを表⽰] をクリックします。
ダッシュボードパネルの表⽰と編集
ダッシュボードを保存したら、App ナビゲーションバーの [ダッシュボード] をクリックして、それにアクセス
することができます。
1. App ナビゲーションバーから [ダッシュボード] をクリックしてください。
この操作を⾏うと、[ダッシュボード] ページに移動します。
新しいダッシュボードを作成したり、既存のダッシュボードを編集したりできます。作成した [Buttercup
Games ] ダッシュボードが表⽰されます。
2. ［i］列で、[Buttercup Games] の隣りにある⽮印をクリックすると、ダッシュボードに関するその他の情
報が表⽰されます。App のコンテキスト、スケジュールされているかどうか、その権限などの情報を参照するこ
とができます。
また、ダッシュボードのスケジュールや権限を編集するためのリンクも記載されています。
36
ダッシュボードを表⽰するには、ダッシュボードのタイトルをクリックするか、または [アクション] の [編集]
オプションを選択します。
注意：クリックしてもダッシュボードが表⽰されない (または空の) 場合は、データモデルへの読み取りアクセス
権を保有しているかどうかを確認してください。そのためには、[データモデルの管理] ビューに移動して、App
で共有するように「Buttercup Games 」データモデルの権限を変更してください。
ダッシュボードへの⼊⼒の追加
1. [Buttercup Games] ダッシュボードに戻ります。
2. [編集] をクリックして、[パネルの編集] を選択します。
[編集：Buttercup Games] ビューが表⽰されます。
このビューには、[⼊⼒の追加]、[パネルの追加]、および [ソースの編集] ボタンがあります。
2. [⼊⼒の追加] をクリックして、[時間] を選択します。
ダッシュボードエディタにタイムレンジピッカーが追加されます。
3. [完了] をクリックします。
タイムレンジピッカーにより、各パネルを同じ時間範囲に制限したインラインサーチを実⾏できます。
37
ダッシュボードへの保存済みレポートの追加
先ほど作成したいずれかの保存済みレポートを使って、他のパネルを作成します。
1. [Buttercup Games] ダッシュボードで [編集] をクリックして、[パネルの編集] を選択します。
2. [編集：Buttercup Games] ビューで、[パネルの追加] をクリックします。
[パネルの追加] サイドバー・メニューが表⽰されます。
3. レポートから新しいパネルを追加するには、[レポートから新規作成] をクリックします。
4. [Total Purchase Requests] をクリックします。
プレビュー・パネルに、保存済みレポートの情報が表⽰されます。
38
4.a [ダッシュボードに追加] をクリックします。
ダッシュボード・エディタに新しいパネルが配置されます。任意の場所をクリックして、[パネルの追加] サイド
バー・メニューを閉じるか、またはダッシュボードに追加する他のレポートを選択してください。
[パネルの追加] サイドバー・メニューを閉じる前に、2 番⽬のレポートを追加します。
5. [Purchases by Product] をクリックします。
5.a [ダッシュボードに追加] をクリックします。
6. サイドバー・メニューを閉じます。
ダッシュボード・エディタ・ビューでダッシュボード内のパネルを再配置するには、パネルをドラッグ・アンド・
ドロップします。
7. [完了] をクリックします。
ダッシュボードは以下のようになります。
39
次のステップ
これで、データモデルとピボットチュートリアルは完了です。次の章に進んで、他に何ができるかを確認してくだ
さい。
次のステップ
データモデルとピボットリソースの詳細
このチュートリアルでは、データモデルの作成とそれを使ったピボット視覚エフェクト/レポートの作成について
簡単に紹介してきました。詳細は、以下の各マニュアルを参照してください。
ナレッジ管理マニュアル：データモデルエディタを使った、データモデルの設計と構築⽅法を説明してい
きます。
ピボットマニュアル：ピボットエディタを使って、イベントデータのテーブル、グラフ、および他の視覚
エフェクトを作成する⽅法を説明しています。
チュートリアル⽤データをさらにいろいろと調査してさまざまなサーチを実⾏したり、ダッシュボードを作成した
りすることをお勧めします。
Splunk サーチ処理⾔語の詳細については、『サーチチュートリアル』を参照してください。
Splunk Enterprise 機能の詳細と使⽤⽅法をさらに学習したい場合は、Splunk が提供する教育⽤ビデオや講座を
ご利⽤ください。
40

Download Report