Kubernetes Audit イベントメトリクスの可視化

メトリクスにディメンションが追加されたので、イベントの verb ディメンションを使用して、さまざまなKubernetesアクションの健全性を示すチャートを作成します。

演習: Kubernetes Auditイベントメトリクスの可視化

1. 前のセクションで作成したチャートを閉じた場合は、右上隅の + アイコン → Chart をクリックして、新しいチャートを作成します。

Create New Chart Create New Chart

2. 新しく作成したチャートの Plot Editor で、メトリクス名フィールドに k8s_audit* と入力します。ここでワイルドカードを使用して、取り込まれているすべてのメトリクスを表示できるようにします。

Review Metric Review Metric

3. 1つから多くのメトリクスへの変化に注目してください。これは、パイプラインを更新してディメンションを含めた時点からの変化です。このメトリクスが利用可能になったので、アクションにエラーが関連付けられているかどうかを示すようにチャートを調整しましょう。

Metric Timeseries Metric Timeseries

まず、response_status フィールドで利用可能なHTTPレスポンスコードを使用して、成功しなかったKubernetesイベントのみにフィルタリングします。レスポンスコードが 409(競合を示す、たとえばすでに存在するリソースを作成しようとした場合)または 503(リクエストに対してAPIが応答しなかった場合)のイベントのみが必要です。

4. チャートのプロットエディタで Add filter をクリックし、フィールドに response_status を使用し、値として 409.0503.0 を選択します。

次に、resourceaction、および response status でグループ化されたイベントの総数を計算する関数をチャートに追加します。これにより、どのアクションと関連するリソースにエラーがあったかを正確に確認できます。これで、成功しなかったKubernetesイベントのみを見ています。

5. Add analyticsSumSum:Aggregation をクリックし、Group by フィールドに resourceaction、および response_status を追加します。

Add Metric Filters Add Metric Filters

6. 上部のボタンにあるチャートタイプを使用して、チャートを heatmap に変更します。Plot editor の隣にある Chart options をクリックします。Group by セクションで response_status を選択し、次に action を選択します。Color thresholdAuto から Fixed に変更します。青い + button をクリックして、別のしきい値を追加します。Down arrow を Yellow に、Middle を orange に変更します。Up arrow は red のままにします。middle threshold に 5 を、upper threshold に 20 を入力します。

Configure Thresholds Configure Thresholds

7. チャートの右上隅にある青い Save as… Preview Button Preview Button ボタンをクリックします。チャートの名前を入力します(例:Kubernetes Audit Logs - Conflicts and Failures)。

Chart Name Chart Name

8. Choose a dashboardNew dashboard を選択します。

New Dashboard New Dashboard

9. 後で簡単に見つけられるように、イニシャルを含むダッシュボード名を入力します。Save をクリックします。

New Dashboard Name New Dashboard Name

10. 作成した新しいダッシュボードが選択されていることを確認し、Ok をクリックします。

Save New Dashboard Save New Dashboard

これで、作成したチャートを含む新しいKubernetes Audit Eventsダッシュボードに移動するはずです。Kubernetesクラスターで実行されているアプリケーションからのアプリケーションエラーとレスポンスタイム、またはpod phase、podメモリ使用率などの他のKubernetesメトリクスなど、環境内の他のメトリクスから新しいチャートを追加できます。これにより、クラスターイベントからアプリケーションの健全性まで、Kubernetes環境の相関ビューが得られます。

Audit Dashboard Audit Dashboard

チャートの可視化ボックスの右上にある3つのドット ... を使用して、このチャートのコピーを作成します。

Copy chart button Copy chart button

UIの右上にある + アイコンを使用して、作業中の同じダッシュボードに貼り付けます。

Paste chart into dashboard Paste chart into dashboard

貼り付けたチャートをクリックして、可視化を Column チャートに変更します。

Change to column chart visualization Change to column chart visualization

SUMを resourcenamespace のみに変更します(フィルターは問題のあるコードのみにフィルタリングします)。

Group chart by resource and namespace Group chart by resource and namespace

Chart optionsでタイトルを Kubernetes Audit Logs - Conflicts by Namespace に変更します。

Change chart title Change chart title

Save をクリックして閉じます。

Save and close chart Save and close chart

演習: Kubernetes Auditログに基づくディテクターの作成

Conflicts by Namespaceチャートで、小さなベルアイコンをクリックし、New detector from chartを選択します。

Bell icon to create detector Bell icon to create detector

名前を選択し、Create alert rule をクリックします。

Enter name for alert rule Enter name for alert rule

Alert conditionで Static Threshold をクリックし、Proceed to Alert Settings をクリックします。

Select static threshold condition Select static threshold condition

Threshold20 を入力します。

Enter threshold value Enter threshold value

このアラートの受信者は選択しないので、Activate をクリックし、Activate Alert RuleSave を選択します。

Activate alert rule and save Activate alert rule and save

右上の Save を最後にもう一度クリックして、ディテクターを保存します。

Final save for detector Final save for detector

ダッシュボードに戻ると、チャートに関連付けられたディテクターが、チャート上の点灯したベルアイコンで示されているのが確認できます。

Detector bell icon on chart Detector bell icon on chart

演習: Splunk Cloud - Dashboard Studioで時系列データを可視化する

時系列メトリクスがSplunk Observability Cloudデータストアに取り込まれたので、Splunk Cloudでこれらの時系列メトリクスを簡単に可視化できます!

Splunk Cloudインスタンスで Dashboards に移動し、Create New Dashboard を選択します。

Create new dashboard in Splunk Cloud Create new dashboard in Splunk Cloud

ダッシュボードのタイトル、権限、Dashboard Studio を選択し、任意のLayout Modeを選択します。 Create をクリックします。

Dashboard title and layout options Dashboard title and layout options

Dashboard Studioでチャートアイコンをクリックし、Column を選択します。

Select column chart in Dashboard Studio Select column chart in Dashboard Studio

Select data sourceCreate splunk observability cloud metric search を選択します。

Choose observability cloud metric search as data source Choose observability cloud metric search as data source

新しいデータソースの名前を選択し、Search for metric or metadata の下にある Content Import リンクをクリックします。

チャートのURLをコピーして Content URL フィールドに貼り付けます。

Paste chart URL and import Paste chart URL and import

Import をクリックします。

Chart imported to dashboard Chart imported to dashboard

Chart visible in dashboard Chart visible in dashboard

チャートのサイズをダッシュボードに合わせて調整します。

Resize chart in dashboard Resize chart in dashboard

チャートの Configuration の右側にある Interactions を展開し、Add Interaction をクリックします。

Expand interactions and add interaction Expand interactions and add interaction

Splunk ObservabilityのダッシュボードからURLをコピーします。

Apply interaction settings Apply interaction settings

On clickLink to custom URL を選択し、ソースデータに簡単に戻れるようにSplunk Observability CloudのダッシュボードのURLを追加します。 また、使いやすいナビゲーションのために Open in new tab を選択します。

Interaction added Interaction added

右上の Save をクリックしてダッシュボードを保存します。

Save dashboard in Splunk Cloud Save dashboard in Splunk Cloud

チャートのColumnまたは名前をハイライトしてクリックします。

Click column or name in chart Click column or name in chart

Splunk Observabilityに戻ることが通知されます。Continue をクリックします。

Continue navigation to Splunk Observability Continue navigation to Splunk Observability

これで、Splunk Cloudから対応するSplunk Observabilityダッシュボードに戻りました。