本当は楽しいSplunk Vol.1

なぜやるのか

社内外で日本語のSplunkの記事が少ない、Splunkサーチコマンド良くわからないまま挫折した、Splunk怖いorz...という声を良く耳にしたので、簡単にできるところから解説してみたいと思います。

お題

誰の為に役立つか分かりませんが、東京都が公開している、緯度経度付きの駐輪場一覧リストをSplunkでゴニョゴニョしてみます。

今回使うSplunkコマンド

• inputlookup
• top
• chart
• geostats

今回使うデータ

http://www.seisyounen-chian.metro.tokyo.jp/kotsu/churinjou.csv
(ヘッダを英語に加工＆UTF-8で保存し直しておきましょう)

Lookupの手順

Lookupとは自分でデータセットをCSVでアップロードして、Splunk上で利用できるようにすることです

1.まずはSettings > Lookups

2.Lookup table files(CSVはUTF-8で！)

3.CSV選んで名前を付けてSave
今回は「churinjou_rev1.csv」という名前でアップロードしてみました

それではサクッと呼び出してみましょう

Search画面にコマンドを叩き込んでみてください(inputlookupのサーチの場合は期間は特に気にしなくて大丈夫です)

|inputlookup churinjou_rev1.csv

どこの区が駐輪場多いのか(チャリンコ天国)

結果は・・・足立区最強

|inputlookup churinjou_rev1.csv | top ward

区別の駐輪場数と平均収容台数を出してみましょう

|inputlookup churinjou_rev1.csv | chart count avg(capacity) as avgCapacity by ward | sort -avgCapacity

地図に駐輪場の数をプロットしてみましょう

今回は標準のMAPよりちょっとカッコよく見える、Custom Cluster MAPをインストールして使ってみましょう
https://splunkbase.splunk.com/app/3122/

|inputlookup churinjou_rev1.csv | geostats latfield=latitude longfield=longitude maxzoomlevel=14 count

実に美しい・・・光り輝く駐輪場たち。ピンクの元気玉みたいなのが足立区らへんです。

maxzoomlevelでズーム14~とかにしておくとかなり詳細な場所にズームできて捗りますよ！