Splunkでソースのアクセシビリティを監視するシンプルなダッシュボードの作成

前回の記事では、ダッシュボードで便利な可視化を作成するためのdependsパネルの使用方法を検討しました。見逃した方は、リンクをフォローしてください： https://socprime.com/blog/using-depends-panels-in-splunk-for-creating-convenient-drilldowns/Splunkの学習を始めた多くの人々は、受信データの可用性を監視することに関して、特定のソースから最後にデータが来たのはいつか、データの受信がいつ止まったのか、現在どのソースが利用できないのか、といった疑問を持っています。
したがって、今日はSplunkでのソースの可用性に関する情報を持つシンプルなダッシュボードを作成します。

ソースのアクセス状況を最新の状態に保つ方法

1. まず、タイトル付きのダッシュボードを作成しましょう。 ‘Source Availability’（ソースの可用性）:

2. 次に統計テーブルを構築するための検索リクエストを行います。
すべてのインデックスで統計テーブルのための検索リクエストを行う必要があります。 data (index=*)：各ホストおよびソースからの最後のイベントを検索したいのですが、そのためには ‘stats’ コマンドを使用します：index=* | stats max(_time) as last_time by host, source

‘last_time’フィールドは、イベントがSplunkに入ったUnix時間形式での最後の時間を表示します。

3. 次に変数を追加し計算します。 ‘Minutes ago’（分前）, ‘Hours ago’（時間前）, ‘Days ago’（日前）。
分数に関しては：eval latency_minutes=round((now()-last_time)/60,0)時間に関しては：eval latency_hours=round(latency_minutes/60,0)日数に関しては：eval latency_days=round(latency_hours/24,0)

注： ‘round’ は 切り捨てし整数を得るために使用されます。結果：

4. さて、フィールド名を変更して ‘last_time’ を人間が読める形式に変換しましょう。また、トリガー条件フィールドを追加する必要があります：もし latency_minutes が5以上の場合のステータスは ‘Off’、5分未満の場合は‘On’:

5. 結果として、次のダッシュボードが見られます：この記事では、ソースのアクセス可能性を監視するためのシンプルな検索リクエストの作成方法を示しました。この方法を使用すれば、どのソースが欠落しているか、または利用できなくなったかをすぐに特定できます。このロジックは、プロセスがクラッシュせずにオンラインであることを監視する必要がある他の種類のデータにも使用できます。ソースの代わりに、他のイベントやフィールドを使用して監視することも可能です。次週は、値に応じてセルの色を変更して情報豊富なテーブルを作成する方法を示す予定です。