Splunk4.3 インストール＆クィックリファレンスガイド · Splunk...

マクニカネットワークス株式会社

第 2 版発行

Splunk4.3 インストール＆クィックリファレンスガイド

2

Copyright © 2012 Macnica Networks Corp. All Rights Reserved. 禁無断転載

目次

1．はじめに ........................................................................................................................................ 3

2．システム要件 ................................................................................................................................ 3

3．インストール方法 ........................................................................................................................... 5

4．Splunk Webの主な画面構成 ....................................................................................................... 6

5．Getting started App .................................................................................................................... 8

6．各種機能の基本操作 .................................................................................................................. 10

6-1．データの取り込み（データ入力の設定） ......................................................................... 10

6-2．検索 ................................................................................................................................... 20

6-3．フィールド ......................................................................................................................... 22

6-4．レポート ........................................................................................................................... 25

6-5．ダッシュボード .................................................................................................................. 28

7．お問い合わせ窓口 ...................................................................................................................... 31

3


1．はじめに

本書は、IT データエンジンである Splunk入門ガイドです。Splunkのインストール方法や基本的な設定方法を解説

しており、これから Splunkを評価される方が本書を参照しながら、Splunkの基本機能をご利用頂けることを目的と

した評価支援資料です。

※ 本書に記載の内容は Splunk Version4.3.2での仕様を元に作成しております。また、本書に記載の内容

は評価向けにカスタマイズしたものとなります。実際の本番環境での運用には適さない設定を含むため、

実際の運用向け設定については弊社までお問い合わせください。

2．システム要件

Splunk Version4.3.2 のシステム要件は次の通りです。

■Splunk インデックスサーバーのオペレーティングシステム

Solaris 9, 10 (x86, SPARC)

Linux Kernel vers 2.6.x 以上 (x86: 32 及び 64-bit)

FreeBSD 6.1(x86: 32-bit), 6.2, 7.x, 8.x (x86: 32 及び 64-bit)

Windows Server 2003/2003 R2 (64-bit, 32-bitは非推奨)

Windows Server 2008/2008 R2 (64-bit, 32-bitは非推奨)

Windows XP (32-bit)

Windows Vista (32-bit, 64-bit)

Windows 7 (32-bit, 64-bit)

MacOSX 10.5, 10.6 (32-bit 及び 64bit ) (10.6は 32-bitのみ)

AIX 5.2, 5.3, 6.1

HP-UX 11iv2 (11.22), 11iv3 (11.31) (PA-RISC, Itanium)

※ 64bit OSでの利用を推奨。

※ 推奨構成については弊社までお問い合わせください。

■Splunk フォワーダーサーバーのオペレーティングシステム

上記インデックスサーバーの対応オペレーティングシステムと同様です。

■サポートしているクライアントのブラウザ

Firefox 3, 4, 8

Internet Explorer 6, 7, 8, 9 (Internet Explorer 8は IE7互換モードのみ対応、Internet Explorer 9は互換モード非対

応)

Safari (最新版)

Chrome (最新版)

※ JSChart モジュール（HTML5）非対応のブラウザを使用する場合には、 Adobe Flash(最新版) が必要

となります。

■ハードウェア要件

・インデックスサーバー

プラットフォーム推奨ハードウェアキャパシティ

非Windows 2x quad-core Xeon, 2.5GHz, 16GB RAM, RAID 1+0 or 0 (64bit)

Windows 2x quad-core Xeon, 2.5GHz, 16GB RAM, RAID 1+0 or 0 (64bit)

4


※ SAS HDD、15000rpm 以上、800IOPS 以上を推奨。

※ 標準的なサーバでの推奨スペックの目安となります。評価環境では上記スペック以下の環境でも動作いた

します。本番環境ではご要望により推奨構成等が異なる場合があるので、ご注意ください。

・ユニバーサル／ライトフォワーダー

Dual Core 1.5Ghz以上の CPU, 1GB以上の RAM

※ すべてのインストールおいて最低 2GBのハードディスクスペースが必要になります。

■サポートされているファイルシステム

プラットフォームファイルシステム

Linux ext2/3, reiser3, XFS, NFS 3/4

Solaris UFS, ZFS, VXFS, NFS 3/4

FreeBSD FFS, UFS, NFS 3/4

Mac OS X HFS, NFS 3/4

AIX JFS, JFS2, NFS 3/4

HP-UX VXFS, NFS 3/4

Windows NTFS, FAT32

※ NFSは非推奨。

※ FreeBSDでは、nullfs でのマウントはサポートされません。

5


3．インストール方法

本インストール手順はホストのオペレーティングシステムが Red hat Linuxの場合の手順です。

(1) 以下のサイトよりインストールファイルをダウンロードしてください。（ログインが必要となります）

http://www.macnica.net/splunk/tech.html

(2) rpm コマンドを実行してインストールを行います。コマンド rpm –i を使用してインストールしてください。

実行例）

rpm – i splunkXXXXXX.rpm

(3) インストールが完了するとデフォルトで/opt/splunk ディレクトリに Splunk がインストールされます。

1) /opt/splunk ディレクトリ以外のディレクトリに Splunk をインストールする場合、下記の実行例ように prefix

パラメータにディレクトリを指定する必要があります。

rpm -i --prefix=/opt/new_directory splunk-XXXXXX.rpm

(4) 下記のコマンドを実行し、splunk を起動します。

/opt/splunk/bin/splunk start

(5) Webブラウザの URLに SplunkWebの URLを入力し、Splunk にログインし、Splunk が起動している事を確

認ください。

http://<Splunk サーバの IP アドレス or ホスト名>:8000

2) Enterprise版のデフォルトのユーザーアカウントは admin/changeme です。

【注意事項】

Linux 環境で SELinux が有効の場合、Linux の環境によっては、SELinux が Splunk の実行を許可しない場合

があります。その場合には、SELinux に Splunk を実行可能なアプリケーションとして追加する必要があります。

（SELinux が無効の場合、本手順は不要です。）

1) SELinuuxに Splunkの実行を許可するために、Splunkの libディレクトリに対して、chconコマンドを実行し

ます。

実行例）

chcon -c -v -R -u system_u -r object_r -t lib_t /opt/splunk/lib 2>&1 > /dev/null

2) Splunk の起動時の Splunk の SELinux のチェックを無効にするために、下記の一行を

/opt/splunk/etc/splunk-launch.conf に追加してください。

SPLUNK_IGNORE_SELINUX=1

http://www.macnica.net/splunk/tech.html

6


4．Splunk Webの主な画面構成

Splunk Web（Splunk のユーザーインターフェイス）にて検索する画面、管理する画面の主な画面構成について説

明致します。

(1) トップ画面サンプル

ログイン後に表示される画面です。

(2) 基本検索画面サンプル

「Search」App にて検索時に表示される画面です。

基本検索を行うには、Search Appの

起動を選択します。

インストール済みの App 一覧や、

Appの追加を行います。

Splunk の管理・設定を行

います。

Splunkが取り込んだデータをカテゴリ別に

表示したものです。検索ボックスです。

保存済みの検索条件などを表示します。

7


(3) 管理者設定画面サンプル

トップ画面の「管理」をクリックして、画面遷移します。

Appの一覧表示、追加を行います。ライセンス等

のシステム

設定を行い

ます。

展開設定を

管理します。

ユーザ等の

管理を行い

ます。

基本的な検索や検索に関する設定を

行います。

取り込むデ

ータの設定

管理を行い

ます。

8


5．Getting started App

SplunkWeb トップ画面の「Splunkホーム」タブをクリックすると、「あなたの App」一覧が表示されます。その App一

覧には、デフォルトで「Getting started」という App が存在します。ここではこの「Getting started」App の主な画面

について説明致します。

(1) Getting started トップ画面

App 一覧の「Getting started」選択後の画面です。タブ表示されている各項目をクリックすることにより、詳細な

説明を表示することができます。本トップ画面の「概要」項目では、App間の移動や Splunkの管理など、Splunk

使用方法の概要を説明しています。

Splunk の管理に関する説明を

表示します。

App や App 間の移動などに

関する説明を表示します。

左メニュー

で選択した

項目の詳

細な説明を

表示しま

す。

Getting started Appへ移動します。

9


(2) その他の画面

タブ表示されている各項目から、各機能の説明や設定手順を表示することができます。また、各項目の設定手

順内に表示される「移動」ボタンから、実際の設定ページへ移動することができます。

リモート Windows マシン上デ

ータ取り込みに関する説明

を表示します。

データの取込み

に関する説明画

面に移動します。

実際の設定画面に移動します。

Splunkインストールサーバ上

のデータ取り込みに関する

説明を表示します。

ネットワーク経由でのデータ

取り込みに関する説明を表

示します。上記以外の手段のデータ取

り込みに関する説明を表示

します。

リモートマシン上データ取り

込みに関する説明を表示し

ます。

10


6．各種機能の基本操作

6-1．データの取り込み（データ入力の設定）

Splunk は多様な方法でデータを取り込むことができます。ここでは簡易的なデータの取り込み方法について説明

致します。

(1) ネットワークからのデータ取り込み

SplunkがOpenしている TCP /UDPポートにデータが転送されると Splunkは自動的にデータを取り込みます。

Syslogサーバーのような構成イメージでログを取り込むことができます。

1) ようこそ画面から「データ追加」をクリックし、「UDP ポートから」を選択して新規のデータ取り込み方法を作成

します。

※ ここでは UDPを対象にしています。

※ 上記画面は Splunk をWindowsOS上にインストールした場合のものです。

各種データの追加方法について

の説明と、データを簡単に追加す

るためのページとなります。

11


2) 下記のような設定を行い、｢保存｣をクリックしてデータの取り込みを行います。

3) 指定したポートにデータを送信して、Splunk がデータを取り込むことを確認します。

※ ネットワークポートからデータの取り込みを行う際に、インストールした Splunkサーバ上で指定したネットワー

クポート番号が Open である必要があります。Splunk でデータの取り込みが確認できない場合は、システム

の Firewallの設定などをご確認ください。

ログの種類を判別するた

めの名称を入力します。

手動を選択します。

12


(2) ファイルのアップロードによるデータ取り込み

最もシンプルなデータの取り込み方法です。検証や評価目的で Splunk にログを取り込ませるのに適した方法で

す。データの取り込みは手動で行う必要があります。

1) 管理画面の｢データ入力｣ → ｢ファイル＆ディレクトリ｣にて「新規追加」をクリックして新規のデータ取り込み

方法を作成します。


2) ここでは、「Skip preview」を選択し、「Continue」を選択します。

13



4) アップロードしたログファイルの情報を Splunk がデータを取り込むことを、｢ネットワークからのデータ取り込

み｣と同様に確認します。

ログの種類を判別するための

名称を入力します。

手動を選択します。

14


(3) ディレクトリ、ファイル監視によるデータ取り込み

Splunkが指定されたディレクトリやファイルを監視していて、追加データが発生すると自動的にデータを取り込み

ます。ファイルのアップロードによるデータ取り込みが手動でデータをアップロードする必要があるのに対して、本

取り込み方法は自動でデータの取り込みを行います。

1) 管理画面の｢データ入力｣ → ｢ファイル＆ディレクトリ｣にて「新規追加」をクリックして新規のデータ取り込み

方法を作成します。


2) ここでは、「Preview data before indexing」を選択し、実際にデータの取込みを開始する前にプレビュー画面

上で確認しながら取り込む方法を選択します。「Browse server」ボタンから任意のファイル※を選択し、

「Continue」ボタンをクリックして次の画面に進みます。

※ 下記の例では、時刻が UTC（協定世界時）、文字コードがシフト JIS形式のログを「webapp」という新

しい「ソースタイプ」として設定し、取り込むまでの流れを説明します。

15


3) 「Set source type」画面では下記のように「Start a new sourcetype」を選択し、「Continue」をクリックしま

す。

4) 「Timestamp」の時刻や各「Event」の区切り位置が、実際のログの時刻や区切り位置と一致しているかどう

かを確認します。ここでは、タイムゾーンと文字コードの設定をするため「If it looks incorrect, adjust

timestamp and event break settings.」のリンクをクリックします。

タイムスタンプやイベントの区切り位置が必要な

場合には、こちらから設定を行います。

タイムスタンプや文字コード、イベントの区切り位置などが

意図した通りにプレビューされている場合には、こちらの

「Continue」ボタンをクリックします。

各イベントの区切り位置が実際のログの区切り

位置と一致しているかどうかを確認します。

実際のログのタイムスタンプの位置や、Splunk が認識した

Timestamp の時刻が正しいかどうかを確認します。

16


5) 時刻が UTC（協定世界時）、文字コードがシフト JIS形式のログファイルを取り込むためには、タイムゾーンと

エンコーディング種類を指定する必要があります。タイムゾーンの設定は、下記のように「Timestamps」タブ

をクリックし、「Specify timezone」にチェックを入れ、任意のタイムゾーン（ここでは「(UTC) Coodinated

Universal Time」）を選択して「適用」ボタンをクリックします。

6) 「適用」ボタンをクリックしたことにより、プレビュー画面の Timestamp時刻が更新されたことを確認します。

7) 文字コードの設定は、設定ファイル「props.conf」を編集する必要があるため、下記のように「Advanced

mode(props.conf)」タブをクリックし、「Additional settings (overrides)」へ「CHARSET=SHIFT-JIS」の一文

を追記して「適用」ボタンをクリックします。

※ 下記の設定は、ソースタイプに、webapp と指定されたファイルを読み込む際 SHIFT-JIS から内部処理

に利用する UTF-8 へ明示的に変換を行う事を示しています。同様に、EUC-JP のログファイルの場合、

CHARSET=EUC-JP とします。

ログの時刻が UTC として認識され、

Timestampが 9時間プラスされる事を

確認します。

「Timestamp」タブを選択します。

「Specify timezone」にチェックを

入れます。

任意のタイムゾーンを

選択します。「適用」ボタンをクリックすることで、

設定内容をプレビューします。

17


8) 再度プレビュー画面上でタイムゾーンと文字コード変換が正しく行われている事を確認し、「Continue」ボタン

をクリックします。

9) ここでは、新しいソースタイプとして「webapp」を追加します。「Review settings」の「Name your new

sourcetype」へ、「webapp」と入力し、「Save source type」ボタンをクリックします。

「Advanced mode (props.conf)」タブ

をクリックします。

文字コードの設定を追記します。

「適用」ボタンをクリックすることで、

設定内容をプレビューします。

新しく追加するソースタイプ名

を入力します。

18


10) 「Succcessfully created webapp」画面が表示されることを確認し、「Create input」ボタンをクリックします。


作成したソースタイプ「webapp」が

入力されている事を確認します。

「その他の設定」にチェックが入って

いる事を確認します。

監視対象としたファイル（またはディレク

トリ）が入力されている事を確認します。

監視対象のホスト名を入力します。

19


12) 指定したディレクトリ/ファイルにデータを追加して、Splunk がデータを取り込むことを｢ネットワークからのデー

タ取り込み｣と同様に確認します。

20


6-2．検索

Splunk は多様な方法でデータの検索を行うことができます。ここでは基本的なデータの検索方法をいくつかご紹介

いたします。

(1) 検索対象のログの絞り込み

データの取り込み時に指定した sourcetypeや hostでデータの絞り込みが行えます。

【実行例】

sourcetype="xxxxxxxxxxx"

host="xxxxxxxxxxx"

(2) 時間指定によるデータ検索

時間指定をしてデータの絞り込みが行えます。

【実行例】

startminutesago=x

starthoursago=x

startdaysago=x

(3) 右画面のようにリアルタイムでの表示や時間指定

することもできます。

21


(4) 検索キーと演算子によるデータ検索

1) ワイルドカードの使用例

Error* （文字列 Error の後に任意の文字列が存在するデータの絞りこみ検索）

2) クォーテーションの使用例

“foo bar” （文字列 foo bar を含むデータの絞り込み検索）

3) 演算子の使用例

【実行例】

xxx OR yyyy

xxx AND yyyy

xxx NOT yyyy

※ 演算子は大文字でなければなりません。

下記は実行例です。AND 条件を使用しているので、2つの検索文字が含まれるデータが抽出されています。

22


6-3．フィールド

フィールドとはレポート対象となる項目の名前と値のペアです。例えば host=foo は host がフィールド名で値が foo

となります。Splunk が取り込んだデータの中に xxxx=yyyy のペアがあればフィールド定義が自動的（※）に作成され

ます。ここでは自動的に作成されたフィールドをレポート対象として登録する設定方法について説明致します。

※ 「フィールドの発見」が有効になっている場合のみ、自動的に作成されます。デフォルトでは有効になっていま

すが、無効に切り替えることも可能です。

(1) フィールドの設定

1) レポート対象としたいフィールドを選択します。

対象としたいフィールド

を選択します。

フィールド定義を自動

的に作成します。

クリックすると、選択したフィールド

が表示されます。（表示位置は次

の画像を参照）

23


2) 下記のように追加したフィールドが表示されます。

(2) フィールドの抽出

自動抽出されていないフィールを手動で抽出することができます。ここでは、SplunkWebからフィールドを抽出す

る方法について説明致します。

1) レポート対象としたいログから「フィールドの抽出」をクリックします。

各ログのプルダウンタ

グをクリックして、「フィ

ールドの抽出」を選択

します。

追加したフィールドが、

表示されます。

24


2) フィールドを抽出する正規表現の設定をします。自動生成した正規表現が正しければ「保存」をクリックし、

任意のフィールド名を設定して保存してください。（※ フィールド名は半角英数字で入力してください。）

フィールドとして抽出したい値をサンプル

のイベントから貼り付けます。複数値があ

る場合は、改行して複数入力することで

正規表現の制度が上がります。

「生成」をクリックす

ると、条件に合致し

た正規表現が生成

されます。

生成された正規表現が適切ではない場合、

「編集」をクリックして正規表現を手動で変更す

ることも可能です。

25


6-4．レポート

Splunk は検索結果を多様な方法でレポート表示することができます。ここでは簡易的なレポート保存方法について

説明致します。

1) レポート表示させたい検索結果画面から「作成｣ → ｢Report...｣をクリックします。

2) レポートタイプとフィールドを選択して、｢次のステップ｣をクリックします。

「トップ値」を選択します。

表示したいフィールドを

選択します。

「Report...」をクリックしま

す。

26


3) レポートフォーマット設定を行うことで指定したフィールド（src）のカウントの多い順のランキングを横棒グラフ

でレポート表示します。（「適用」ボタンをクリックすると、グラフのプレビューが表示されます。）

4) レポートの書式が決まったら、「保存｣ → ｢Save report...｣をクリックします。

プルダウンメニューから、

表示したいグラフの種類を

選択します。

27


5) 「検索名」欄へ任意の検索名を入力し、「完了」をクリックします。

6) 上部メニューバー「検索とレポート」から、保存したレポートが選択できるようになったことをします。

28


6-5．ダッシュボード

Splunk は保存された複数のレポートをダッシュボードとして保存しておくことができます。ここでは簡易的なダッシュ

ボード保存方法について説明致します。

1) 上部メニューバー「ダッシュボードとビュー」から、「ダッシュボードの作成...｣をクリックします。

2) 任意の「ID」、「名前」を入力し、「作成」をクリックします。（※ IDは半角英数字で入力してください。）

3) 新しいダッシュボードの設定画面が表示されますので、「編集：」の右側にある「オン」をクリックし、ダッシュボ

ードの編集を有効化します。

4) ダッシュボードに表示したいレポートを追加するため、「＋新しいパネル」をクリックします。

「オン」を選択します。

29


5) ダッシュボード内のパネルタイトルとして任意の名前を入力し、前のセクションで保存したレポートを選択し、

「保存」をクリックします。

6) 保存された検索コマンドの実行結果がパネルに追加されます。表示を編集するには、パネル内の「Edit｣ →

｢Edit visualization｣をクリックします。

7) ここでは「視覚エフェクト」から「円」を選択し、「保存」を

クリックします。

30


8) 選択されたレポートの表示結果が、テーブル形式から円グラフ表示に変更された事を確認し、ダッシュボード

の編集を無効化するため、「オフ」をクリックします。

9) 作成されたダッシュボードが上部メニューから選択できるようになったことを確認します。

「オン」を選択します。

31


7．お問い合わせ窓口

本書で紹介していないコマンドラインからの設定の追加や、より高度な検索コマンドの使用方法などにつきましては

オンラインマニュアルをご覧いただくか、弊社マクニカネットワークス株式会社が主催するセミナーにご参加ください。

ご不明な点は下記の弊社窓口までお問い合わせください。

【お問い合わせ窓口】

〒222-8562

横浜市港北区新横浜 1-5-5

マクニカネットワークス株式会社

Splunkセールス担当

TEL: 045-476-1960

E-mail: [email protected]

URL: http://www.macnica.net/splunk/

マクニカネットワークス株式会社の事前の許可なく、このマニュアルのいかなる部分も、いかなる方法によって複製、

または電子媒体に複写することを禁じます。このマニュアルに記載されている製品および仕様に関する情報は、予告

なしに変更されることがあります。

本マニュアルに記載されている情報の正確性および信頼性には万全を期しておりますが、マクニカネットワークス株式

会社は、いかなる利用について一切の責任を負わないものとします。Splunk Inc.は US およびその他の国において

Splunk Inc.の登録商標です。その他、本マニュアルに記載されている会社名や製品名は、それぞれ各社の商標また

は登録商標です。

http://www.macnica.net/splunk/

Splunk4.3 インストール＆クィックリファレンスガイド · Splunk...

Documents

Transcript of Splunk4.3 インストール＆クィックリファレンスガイド · Splunk...