Ich bin ein Kartenfreak. Karten haben mich schon als Kind fasziniert, weil man darauf spannende Dinge entdecken konnte. Ich meine, woher sollte man schon wissen, dass Frankreich irgendwo vor der Küste Mexikos liegt oder dass die Åland-Inseln ein Archipel in der Ostsee mit einer ereignisreichen Geschichte sind? Keine Sorge, in diesem Blog geht es nicht um entlegene, unbewohnte Territorien oder Geschichte, sondern um Karten und Splunk. Jetzt fragt ihr euch vielleicht, was Splunk mit Karten zu tun hat? Na ja, Splunk hat im Bereich des Mappings einiges zu bieten und in diesem Blog werde ich euch ein paar Tricks zeigen, mit denen ihr eure Berichte und Dashboards aufpeppen könnt. Karten sind in Splunk nicht nur schön anzusehen. Sie helfen euch auf innovative Weise, Muster zu erkennen, Daten zusammenzufassen und Drilldowns in interessante Events durchzuführen.
In diesem kurzen Beitrag zeige ich euch Folgendes:
- Das Hinzufügen geografischer Komponenten zu Events mit einer IP-Adresse
- Das Verwenden geografischer Komponenten zum Zusammenfassen von Daten
- Die graphische Darstellung von Informationen auf einer Karte, die ihr zu einem Dashboard hinzufügen könnt
- Und zu guter Letzt: Das Zusammenfassen der Daten nach Land zum Erstellen einer Choroplethenkarte
Zur Veranschaulichung verwende ich Demodaten von unserem Buttercup Game, insbesondere die Access Combined-Weblogdaten. Jedes Event verfügt über eine IP-Adresse, die Produktkategorie sowie viele weitere Daten. Die Daten sehen folgendermaßen aus:
sourcetype=access_combined_wcookie
Es gibt verschiedene Möglichkeiten, basierend auf Adressen, Postleitzahlen oder anderen Informationen Standorte zu Daten hinzuzufügen. Eine überraschend genaue Methode zur Einbindung des Standorts eines Besuchers stellen IP-Adressen dar. Diese Methode bringt zwei Vorteile mit sich. Zum einen haben viele der erfassten IT-Daten sicherlich eine IP-Adresse, zum anderen verfügt Splunk über einen sehr praktischen Befehl, der Breitengrad, Längengrad und andere geografische Daten basierend auf der IP-Adresse zuordnet. Der Befehl heißt iplocation und hier findet ihr weitere Infos dazu.
Um den Standort hinzuzufügen, führt ihr einfach diesen Suchbefehl aus:
sourcetype=access_combined_wcookie | iplocation clientip
Ich weiß, die Ergebnisse hauen einen nicht gerade vom Hocker, denn auf den ersten Blick scheint sich nicht viel zu tun. Wenn wir genauer hinschauen, tritt jedoch die ganze Magie zutage. Durch die Ausführung von iplocation wurden die Event-Daten um einige interessante Felder ergänzt. Wenn ich eine Tabelle erstelle, sehen wir einige der hinzugefügten Informationen:
sourcetype=access_combined_wcookie | iplocation clientip | table lat, lon, Country
Gar nicht schlecht! Jetzt haben wir einige Daten, die wir nutzen können. Zum Beispiel kann ich jetzt die Anzahl der Downloads nach Land ermitteln.
sourcetype=access_combined_wcookie | iplocation clientip | stats count by Country
Und ich kann mit diesen Daten ein nettes Säulendiagramm erstellen:
Jetzt kann ich also meine Daten zusammenfassen. Aber wie kann ich sehen, wo innerhalb eines Landes diese Downloads durchgeführt wurden? Noch viel cooler wäre es ja, wenn ich das auf einer Karte anzeigen könnte! Splunk hat natürlich einige Befehle parat, mit denen sich das bewerkstelligen lässt. Als ersten Befehl wende ich geostats an.
sourcetype=access_combined_wcookie | iplocation clientip | geostats latfield=lat longfield=lon count
Splunk zeigt mir jetzt in einer groben Übersicht, wo die Downloads getätigt wurden:
Das Ganze ist ziemlich clever gemacht. Splunk nimmt Tausende von Einzelstandorten und clustert sie für eine bessere Analyse in intelligent positionierte Standorten. Die Größe des Punktes steht für die Anzahl der Downloads. Beim Vergrößern werden diese Cluster in kleinere, lokalere Cluster aufgebrochen. Hinweis: Achtet darauf, auf der Registerkarte „Visualization“ die richtige Visualisierung auszuwählen (Cluster Map), sonst wird die Karte nicht angezeigt. Noch interessanter wird es, wenn wir die Daten für ein bestimmtes Feld zusammenfassen. (Ich meine, die blauen Punkte sehen ja ganz nett aus, liefern aber noch nicht viele Erkenntnisse.)
sourcetype=access_combined_wcookie | iplocation clientip | geostats latfield=lat longfield=lon count by categoryId
Anstelle der blauen Cluster sehen wir jetzt Tortendiagramme, in denen jeder Cluster nach Produktkategorie aufgeschlüsselt wird. Zum Abschluss möchte ich euch noch zeigen, wie ihr mit Splunk Bestellungen nach Ländern auf der Karte anzeigen könnt. Es gibt einen weiteren Befehl, nämlich geom, mit dem wir genau das tun können. geom nutzt kartografische Daten, die im Lieferumfang von Splunk enthalten sind, um Ländergrenzen und zusammengefasste Daten auf einer Karte anzuzeigen.
sourcetype=access_combined_wcookie | iplocation clientip | stats count by Country | geom geo_countries featureIdField="Country"
Die USA haben an der Download-Front ganz klar die Nase vorn, was angesichts des Säulendiagramms, das wir uns vorher angeschaut haben, sicher keine weltbewegende Erkenntnis ist. Aber ihr wisst jetzt, wie es funktioniert. Wenn ihr euch also nächstes Mal fragt, woher all diese Zugriffe auf eure Website eigentlich kommen, könnt ihr in Splunk ein Mapping durchführen und eure Dashboards aufpeppen.
Happy Splunking!
*Dieser Artikel wurde aus dem Englischen übersetzt und editiert. Den Originalblogpost findet ihr hier: Mapping with Splunk.
