Splunk Log Observer

20 minutes  
ペルソナ

バックエンド開発者の役割を継続して、アプリケーションのログを調査して問題の根本原因を特定する必要があります。

APM トレースに関連するコンテンツ(ログ)を使用して、Splunk Log Observer でさらに掘り下げ、問題が正確に何であるかを理解します。

関連コンテンツは、あるコンポーネントから別のコンポーネントにジャンプできる強力な機能で、メトリクストレースログで利用可能です。

Last Modified 2025/04/30

7. Splunk Log Observerのサブセクション

1. ログフィルタリング

Log Observer (LO)は、複数の方法で使用できます。クイックツアーでは、LO のコード不要インターフェースを使用して、ログ内の特定のエントリを検索しました。しかし、このセクションでは、関連コンテンツリンクを使用して APM のトレースから LO に到達したと想定しています。

これの利点は、RUM と APM 間のリンクと同様に、以前のアクションのコンテキスト内でログを見ていることです。この場合、コンテキストはトレースの時間枠(1)とtrace_idに設定されたフィルター(2)です。

トレースログ トレースログ

このビューには、エンドユーザーとオンラインブティックのやり取りによって開始されたバックエンドトランザクションに参加したすべてのアプリケーションまたはサービスからのすべてのログ行が含まれます。

私たちのオンラインブティックのような小さなアプリケーションでさえ、見つかるログの膨大な量により、調査している実際のインシデントに関連する特定のログ行を見つけることが難しくなる場合があります。

演習

ログ内のエラーメッセージだけに焦点を当てる必要があります:

  • Group By(グループ化)ドロップダウンボックスをクリックし、フィルターを使用してSeverity(重要度)を見つけます。
  • 選択したらApplyボタンをクリックします(チャートの凡例がデバッグ、エラー、情報を表示するように変わることに注意してください)。 凡例 凡例
  • エラーログのみを選択するには、凡例の「error」(1)という単語をクリックし、Add to filterを選択します。次にRun Searchをクリックします。
  • 複数のサービスにエラー行がある場合は、sf_service=paymentserviceなどのサービス名もフィルターに追加できますが、今回のケースでは必要ありません。 エラーログ エラーログ

次に、ログエントリの詳細を見ていきます。

Last Modified 2025/05/02

2. ログエントリの表示

特定のログ行を見る前に、これまでに行ったことと、可観測性の 3 本柱に基づいてなぜここにいるのかを簡単に振り返ってみましょう:

メトリクストレースログ
問題がありますか?問題はどこですか?問題は何ですか?
  • メトリクスを使用して、アプリケーションに問題があることを特定しました。これはサービスダッシュボードのエラー率が、あるべき値よりも高かったことから明らかでした。
  • トレースとスパンタグを使用して、問題がどこにあるかを見つけました。paymentserviceにはv350.9v350.10の 2 つのバージョンがあり、v350.10のエラー率は 100% でした。
  • paymentservicev350.10からのこのエラーが、複数の再試行とオンラインブティックのチェックアウトからの応答の長い遅延を引き起こしたことを確認しました。
  • トレースから、関連コンテンツの力を使用して、失敗したpaymentserviceバージョンのログエントリに到達しました。これで、問題が何であるかを特定できます。
演習
  • ログテーブルのエラーエントリをクリックします(リストに別のサービスからのまれなエラーもある場合は、hostname: "paymentservice-xxxx"と表示されていることを確認してください)。

メッセージに基づいて、問題を解決するために開発チームに何を伝えますか?

開発チームは、有効な API トークンでコンテナを再構築してデプロイするか、v350.9にロールバックする必要があります

ログメッセージ ログメッセージ

  • ログメッセージペインのXをクリックして閉じます。
おめでとうございます

Splunk Observability Cloud を正常に使用して、オンラインブティックでショッピング中に不良なユーザーエクスペリエンスを体験した理由を理解しました。RUM、APM、ログを使用して、サービス環境で何が起こったかを理解し、その後、可観測性の 3 本柱であるメトリクストレースログに基づいて根本原因を見つけました。

また、アプリケーションの動作パターンを検出するためにTag Spotlightインテリジェントなタグ付けと分析を使用する方法と、問題のコンテキストを維持しながら異なるコンポーネント間を迅速に移動するために関連コンテンツフルスタック相関パワーを使用する方法も学びました。

ワークショップの次のパートでは、問題発見モードから緩和防止プロセス改善モードに移行します。

次は、カスタムダッシュボードでのログチャートの作成です。

Last Modified 2025/05/02

3. ログタイムラインチャート

Log Observer で特定のビューを持った後、そのビューをダッシュボードで使用できると、将来的に問題の検出や解決にかかる時間を短縮するのに非常に役立ちます。ワークショップの一環として、これらのチャートを使用する例示的なカスタムダッシュボードを作成します。

ログタイムラインチャートの作成を見ていきましょう。ログタイムラインチャートは、時間経過に伴うログメッセージを視覚化するために使用されます。ログメッセージの頻度を確認し、パターンを特定するための優れた方法です。また、環境全体でのログメッセージの分布を確認するための素晴らしい方法でもあります。これらのチャートはカスタムダッシュボードに保存できます。

演習

まず、関心のある列のみに情報量を減らします:

  • ログテーブルの上にあるテーブル設定アイコンをクリックしてTable Settingを開き、_rawのチェックを外し、次のフィールドが選択されていることを確認します:k8s.pod.namemessageversionログテーブル設定 ログテーブル設定
  • 時間選択から固定時間を削除し、過去 15 分に設定します。
  • すべてのトレースでこれを機能させるには、フィルターからtrace_idを削除し、フィールドsf_service=paymentservicesf_environment=[WORKSHOPNAME]を追加します。
  • Saveをクリックし、Save to Dashboardを選択します。 保存する 保存する
  • 表示されるチャート作成ダイアログボックスで、Chart nameとしてログタイムラインを使用します。
  • Select Dashboardをクリックし、ダッシュボード選択ダイアログボックスでNew Dashboardをクリックします。
  • New Dashboardダイアログボックスに、新しいダッシュボードの名前を入力します(説明を入力する必要はありません)。次の形式を使用します:イニシャル - サービスヘルスダッシュボード、そしてSaveをクリックします。
  • リスト内で新しいダッシュボードが強調表示されていることを確認し(1)、OK2)をクリックします。 ダッシュボードの保存 ダッシュボードの保存
  • Chart TypeとしてLog timelineが選択されていることを確認します。 ログタイムライン ログタイムライン
  • Saveボタンをクリックします(この時点ではSave and go to dashboardをクリックしないでください)。

次に、ログビューチャートを作成します。

Last Modified 2025/05/02

4. ログビューチャート

ログで使用できる次のチャートタイプはログビューチャートタイプです。このチャートでは、事前定義されたフィルターに基づいてログメッセージを確認できます。

前回のログタイムラインチャートと同様に、このチャートのバージョンをカスタマーヘルスサービスダッシュボードに追加します:

演習
  • 前回の演習後、まだLog Observerにいることを確認してください。
  • フィルターは前回の演習と同じで、時間選択が過去 15 分に設定され、severity=error、sf_service=paymentservicesf_environment=[WORKSHOPNAME]でフィルタリングされている必要があります。
  • 必要なフィールドのみを含むヘッダーがあることを確認してください。
  • 再度Saveをクリックし、Save to Dashvoardをクリックします。
  • これによりチャート作成ダイアログが再度表示されます。
  • Chart nameとしてログビューを使用します。
  • 今回はSelect Dashboardをクリックし、前回の演習で作成したダッシュボードを検索します。検索ボックス(1)にあなたのイニシャルを入力することから始めることができます。 ダッシュボードの検索 ダッシュボードの検索
  • あなたのダッシュボード名をクリックして強調表示し(2)、OK3)をクリックします。
  • これによりチャート作成ダイアログに戻ります。
  • Chart typeとしてLog viewが選択されていることを確認します。 ログビュー ログビュー
  • ダッシュボードを表示するには、Save and go to dashboardをクリックします。
  • 結果は以下のダッシュボードと同様になるはずです: カスタムダッシュボード カスタムダッシュボード
  • この演習の最後のステップとして、あなたのダッシュボードをワークショップチームページに追加しましょう。これにより、ワークショップの後半で簡単に見つけることができます。
  • ページ上部で、あなたのダッシュボード名の左にある をクリックします。 リンク リンク
  • ドロップダウンからLinks to Teamを選択します。
  • 次のLinks to Teamダイアログボックスで、インストラクターが提供したワークショップチームを見つけてDoneをクリックします。

次のセッションでは、Splunk Synthetics を見て、Web ベースのアプリケーションのテストを自動化する方法を確認します。