Post on 24-May-2015
description
Splunk niteX
@snicker_jp
•自己紹介
• Splunkとは?
• Splunkとの出会い
•導入編
• 事例• App
お品書き
・情報システム部門で働いています
・インストールマニアックス
☆インプットIT勉強会によく参加しています!
見かけたら、声をかけてください
☆アウトプット
「元うなぎ屋」というブログをやっています
自己紹介
@snicker_jp
blog
・私が「実際に使ってみた!」という内容で話します
・対象者:
私のような「情報システム部門」の人です
・ちなみに私は、コードを一切書けません!
おことわり
• ログの統合基盤収集、インデックス、検索、レポート、アラートなどの機能を持っています
• デスクトップ検索のサーバー版のようなもの「検索窓」で、いろいろできる、SQLライクなコマンドや関数が使える
• 性能監視にも使えるCacti,Nagiosほどではないが、グラフ化を確認することも可能
• ライセンス機能制限のある「無償版」と有償の「エンタープライズ版」がある
Splunkとは?
機能 無償版 有償版
1日に収集できる最大のログ容量
500MB ライセンスに応じて
検索スケジュールの実行 X 〇
検索や閾値に基づくアラート
X 〇
分散検索、展開サーバ X 〇
アクセス制御と複数ユーザアカウント
X 〇
他のSplunkへのデータ転送/受信
〇 〇
開発用API 〇 〇
容量制限回数 過去30日に2回まで(3回以上でロック)
過去30日に4回まで(5回以上でロック)
ライセンス
http://www.splunk.com/view/free-vs-enterprise/SP-CAAAE8Whttp://www.macnica.net/splunk/test_def.html/http://splunk.intellilink.co.jp/product/details-3
• エンジニアサポートCROSS 2013 (http://www.cross-party.com/)にて、ランチセッションスポンサーとして講演されていたセッションに参加
• そこで、Splunkも持つポテンシャルを知るε=(ノ゚Д゚)ノ
Splunkとの出会い
• その場で、展示ブースの営業と会話私:「LogStorage微妙なんですよね・・・」営業:「LogStorageなんて相手じゃないですね~」
営業:「まずは無料から簡単にインストールできるので、使ってみてください」「すぐにきれいなダッシュボード出せますよ。( ̄ー+ ̄)どや」
• そーは、言われてもやってみないとわからない!ということで、やってみました。
て、事でやってみました!
その顛末をブログに!
• Splunk Universal Forwarder を使って外部サーバーからログを取得する
このページだけで、6,000字超!
• Splunk のパスワードリセット方法
• Splunk の通信をSSL対応させてみた
要は、初期導入でハマったんです・・・
• 初期はデフォルトで、SSL通信構成です!でも、自分が入れた頃はSSL構成の日本語ドキュメントない!><
• 初期パスワードの後、入れたパスワード忘れた・・・(´・ω・`)
• SSL構成のやり方教えてもらったよ!出来たよ!でも、社内LANだよ!w
他にも・・・・スループット調整・sourcetype・検索コマンド
と、まあこんな事ありながら出来ました~
٩(๑❛ᴗ❛๑)۶
•「Apps」を使って、構築「Apps」はSplunkのコミュニティベースで開発されている「テンプレート」のようなもの・データの取り込み対象・ソースタイプ・グラフなどのレポート・検索テンプレートなどが、含まれます。
事例
•Splunk for Squid
•Splunk for Postfix
•*NIX
•Google Maps
•Search(既定) のURL共有
事例
Client
社内からインターネットへのProxy兆候監視
☆Splunk for Squid
DM
Z
internet
ログ一括収集
ダッシュボード画面
☆Splunk for Squid
Client
社内Mailサーバーの兆候監視
・複数台構成の一部
☆Splunk for Postfix
internet
ログ一括収集
ダッシュボード画面
☆Splunk for Postfix・比較的検索テンプレートが豊富・レポートもキレイ!
UNIX系のサーバー状況モニタ
☆ *NIX
・サーバー内で取得・一括取得も可能
画面例:
☆*NIX
例:
☆*NIX
・差分表示・変更履歴取得が可能
画面例:
「* | geoip clientip」
MAXMINDのDBを利用
☆Google Maps
標準App「検索」
☆ Search
標準機能!
こんな事ありませんか!?
・業務システム・振込処理など金銭に係る処理・ネットワーク上は誰でもアクセス可能
例:監査対応の月次アクセス監視金銭が関わるシステムなど
こんなことありませんか!?
報告書提出
ログ「grep」
鈴木さん!
いつものお願いします♡
出来ました~!^^;
はい、は~い!
事務職♡
ちょっと・・・すぐとは言え
・作業止められると、集中力切れるし (´・ω・`)・エンジニア休めないよ!(´・ω・`)
それに、小細工したみたいな疑いかけられたくないし
それなら、いいのあるわよ!
© 2011 Microsoft Corporation All Rights Reserved.
URL共有機能!☆
例:監査対応の月次アクセス監視金銭が関わるシステムなど
こうなりました!
報告書提出
鈴木さん、居ない!でも、Splunkあるわ!
画面から取得
事務職♡
ドヤっ!w
デモ
したかったんですが・・・
懇親会で!
要は、何を実現したかったか!
• 「一時切り分け」は誰でもできるように!
• それによって、人員が少なくてもデキる!
• 工数が減って「ゴール」が一緒ならいいんじゃないか!
困りごと
• まだ、ケーススタディ(検索の保存)がたくさんは用意できてないです。
• まだまだ「検索」について、共有したいです。
• 導入については「#Splunk」で検索
Thank you!
ご清聴ありがとうございました!