Dashboard Studio：Dashboard Studioでの表示/非表示とトークンの評価方法

SimpleXMLによる従来のダッシュボードで「eval」や「condition」を使ってトークンを操作したり、「depends」を使ってパネルの表示/非表示を切り替えたりしていた場合、それをDashboard Studioで行う方法がわからず、お困りの方もいらっしゃるでしょう。このブログ記事では、.conf23でご紹介した例を使って、Dashboard Studioでの操作方法をご説明します。 

本題に入る前に次の点にご注意ください。Splunkは、Dashboard Studioの操作性や機能を継続的に改善しており、このブログでご紹介する方法は、Splunk Cloud Platform 9.0.2303とSplunk Enterprise 9.1で最適に機能します。では、始めましょう！ 

トークンを使って条件に基づいてパネルの表示/非表示を切り替える

Splunk Cloud Platform 9.0.2303とSplunk Enterprise 9.1では、条件に基づいてパネルの表示/非表示を切り替える機能がDashboard Studioに初めて導入されました。 

この初期バージョンの機能では、データの有無に基づいてパネルの表示/非表示を簡単に切り替えることができます。また、より高度な使い方として、トークンを切り替え条件に使用することも可能で、これには、SPLを使ったさまざまな方法があります。

たとえば次のクエリーでは、「$metric$」というトークンが「Occupancy」または「*」に解決された場合にのみ結果が返されます。

index = occupancy
...
| head limit=100 ($metric|s$ = "Occupancy" OR $metric|s$ = "*" )

このロジックをダッシュボード全体で使えば、トークンの値によって表示が切り替わるレイアウトを作成できます。次の例のButtercup Universityダッシュボードでは、ドロップダウンで項目を選択すると、その関連メトリクスだけが表示されます。 

別の例として、次のクエリーでは、「$detailsVisibility$」というトークンが、「conf23_workshop_orders」インデックス内に存在する値に解決された場合にのみ結果が返されます。他の値ではクエリーの結果が0件になり、このサーチで生成されるパネルはすべて非表示になります。 

index=conf23_workshop_orders status=purchased shipping_country=$countrySelected$ $detailsVisibility$ shipping_city=$citySelected$ 
| table _time order_id product count

条件に基づいてパネルの表示/非表示を切り替えるための鍵は、パネルを表示したい場合にのみサーチで有効な結果が返されるようにすることです。その条件は自由に設定できます。 

トークンを評価する

Dashboard Studioでのトークン評価ロジックの専用機能はまだ開発中ですが、特に重要なevalを使うための回避策があるのでご紹介します。 

Splunkは2022年、「$data source name:result.field$」という新しい構文を使ってサーチ結果をトークンとして直接参照する機能を導入しました。もともとはサーチ結果に簡単にアクセスするための機能ですが、SPLで利用できるあらゆる評価関数を実行することもできます。実際、makeresultsコマンドとevalコマンドを組み合わせることで、既存のトークンまたはサーチ結果に基づいて新しいトークンを生成するだけのサーチを作成できます。

データソース「Over Capacity Evaluator」に対する次のクエリーを例に取ります。

| makeresults 
| eval office_outage_risk = case($office_count$ <= 1000, "low", $office_count$ >1000, "high") 
| eval contingent_outage_risk = case($contingent_count$ <= 500, "low", $contingent$_count$ >500, "high") 
| eval remote_outage_risk = case($remote_count$ <= 800, "low", $remote_count >800, "high") 
| fields office_outage_risk contingent_outage_risk remote_outage_risk

これにより、独自のリスクスコアを表す新しいトークンが3つ生成されます。

• $Over Capacity Evaluator:result.office_outage_risk$
• $Over Capacity Evaluator:result.contingent_outage_risk$
• $Over Capacity Evaluator:result.remote_outage_risk$

これらのトークンをダッシュボードで使用できます。次の例では、単一値のテキストにトークンを埋め込んで、ユーザーが簡単にデータを読み取れるようにしています。 

ダッシュボードで試してみましょう！

トークンを評価し、条件付きロジックを適用して、パネルの表示/非表示を切り替える方法がおわかりいただけたと思いますので、ぜひDashboard Studioのダッシュボードで実際に試してみてください。Examples Hubの「Evaluate Tokens Using Search」と「Advanced Show/Hide」でその他の例を見ることもできます。 

近日公開

Dashboard Studioの操作性と機能の改善は続いており、今後、ワークフローが効率化されて、ここでご紹介したような方法は不要になるかもしれません。現在のところ、以下のような機能強化が予定されています(2023年8月31日執筆時点)。 

• グリッドレイアウトでの条件に基づくパネルの表示/非表示 
• 表示/非表示の条件の指定
• トークン評価ロジックの指定 

このブログ記事はEason Gaoとの共同執筆です。

^{*この情報は、Splunk LLCの独自の裁量で予告なく随時変更される場合があります。このロードマップ情報は、契約またはその他の約定に組み込まれないものとします。Splunkは、ここに記述される製品、特徴、または機能を開発する義務も、提供する義務も負いません。}

このブログはこちらの英語ブログの翻訳、山村 悟史によるレビューです。