第2回JapanElasticUserGroupのLT資料です。

1. データ可視化、分析をする人に
「Elasticsearchにデータ入れて
おいて」と言われたら
2018/12/26(水)
Japan Elastic User Group #2
1

2. 目次
■ 自己紹介
■ 宣伝
■ 今回の話のあらすじ
■ Before
■ 対処法
■ After
■ まとめ
2

3. 自己紹介
■ 片野 祐（かたの ゆう）
■ Elasticを使い始めたきっかけ
– 機械学習を試したくて…5.xから利用
■ JapanElasticUserGroupの運営やってます
■ 第1回JapanElasticUserGroupでも喋ってました
– https://www.slideshare.net/YuKatano/jeug1lt
■ 12/21(金)のAdvent Calendar書いてました
– https://qiita.com/yukata_uno/items/669fb9b69e39d52c4e29
■ 先週にLTするのが決まりました
3

4. 4
宣伝
@yukata_uno
適当にいろんなことをたまにつぶやくアカウント
Advent Calendarもこの名前
@jeug_manage
JapanElasticUserGroupの周知とかもろもろをするアカウント
Facebook Groupでイベントとか作成しているが、
こちらでも周知予定
フォローお願いします
イベントの告知したらリツイートお願いします

5. 今回の話のあらすじ
■ とあるネットワーク機器からのストリーミングデー
タ(Streaming Telemetry)をLogstash経由でElasticsearch
に入れ、Kibanaで可視化、分析する
■ 役割分担
– Elasticsearchにデータを入れるところまで→他の人
– Kibanaでの可視化、分析→自分
■ 「とりあえずデータをElasticsearchに入れる」ように
頼んでしまうと、今回のようなことが起こります
– なぜならElasticsearchにデータは確かに入っているから
5

6. 6
Before-1

7. 7
Before-1
field名が長すぎて省略されていて、何かわからない
“update.Sysdb.interface.counter.eth.slice.phy.1.intfCounterDir
.Ethernet3.current” まで共通のfield名

8. 8
長いField名の正体
{
"@version": "1",
"dataset": "10.44.160.88:6042",
"@timestamp": "2018-12-21T06:55:43.307Z",
"timestamp": 1545375095319,
"update": {
"Sysdb": {
"interface": {
"counter": {
"eth": {
"slice": {
"phy": {
"1": {
"intfCounterDir": {
"Ethernet3": {
"intfCounter": {
"current": {
"rates": {
"outPktsRate": 0.03442882344690907,
"statsUpdateTime": 280228.978311996,
"inBitsRate": 0,
"inPktsRate": 0,
"outBitsRate": 45.99690812507048
},
"statistics": {
"outMulticastPkts": 0,
"outDiscards": 0,
"outBroadcastPkts": 0,
"inMulticastPkts": 0,
"outOctets": 1559279,
"inUcastPkts": 0,
"inBroadcastPkts": 0,
"inDiscards": 0,
"outErrors": 0,
"inErrors": 0,
"outUcastPkts": 9337,
"inOctets": 0,
"lastUpdate": 280228.97986983
}
}
}
}
}
}
}
}
}
}
}
}
}
}
JSONの入れ子構造によって生み出されたField名

9. 9
Before-2

10. 10
Before-2
Field名が長すぎて見切れてしまい、どうしようもない
いちいち手入力するのも面倒

11. 11
対処法：filter mutate rename
filter {
mutate {
rename => {
"[update][Sysdb][interface][counter][eth][slice][phy][1][intfCounterDir][Ethernet3][intfCounter][current]" => "intf" }
}
}
renameは主に
filter {
mutate {
# Renames the 'HOSTORIP' field to 'client_ip'
rename => { "HOSTORIP" => "client_ip" }
}
}
のようにfield名の変換に使うが、今回のように共通したfield名の置換も
一行で書ける。

12. 参考
■ https://www.elastic.co/guide/en/logstash/current/plugin
s-filters-mutate.html#plugins-filters-mutate-rename
■ https://www.elastic.co/guide/en/logstash/current/event-
dependent-configuration.html#logstash-config-field-
references
■ https://www.elastic.co/guide/en/logstash/current/field-
references-deepdive.html
12

13. 13
After-1
スッキリ
スッキリ

14. 14
After-2
バッチリfield名が見える

15. まとめ
■ 可視化、分析を考えて、データの格納をする
– どの立ち位置のエンジニアにも言えること
– ただデータを流すだけではなく、データの構造を考えて
データを流すべし
■ 「Elasticsearchにデータ入れておいて」→「 （分析し
やすい形で）Elasticsearchにデータ入れておいて（。
あとは取得するfieldが増えても修正するところがで
きるだけ少ないように、データを吐く側でどうにか
できるところはどうにかしておいて）」
■ 世の中を流れるデータがきれいなものでありますよ
うに
15

16. おわり
16