Splunk niteX

@snicker_jp

•自己紹介

• Splunkとは？

• Splunkとの出会い

•導入編

• 事例• App

お品書き

・情報システム部門で働いています

・インストールマニアックス

☆インプットIT勉強会によく参加しています！

見かけたら、声をかけてください

☆アウトプット

「元うなぎ屋」というブログをやっています

自己紹介

@snicker_jp

blog

・私が「実際に使ってみた！」という内容で話します

・対象者：

私のような「情報システム部門」の人です

・ちなみに私は、コードを一切書けません！

おことわり

• ログの統合基盤収集、インデックス、検索、レポート、アラートなどの機能を持っています

• デスクトップ検索のサーバー版のようなもの「検索窓」で、いろいろできる、SQLライクなコマンドや関数が使える

• 性能監視にも使えるCacti,Nagiosほどではないが、グラフ化を確認することも可能

• ライセンス機能制限のある「無償版」と有償の「エンタープライズ版」がある

Splunkとは？

機能 無償版 有償版

1日に収集できる最大のログ容量

500MB ライセンスに応じて

検索スケジュールの実行 X 〇

検索や閾値に基づくアラート

X 〇

分散検索、展開サーバ X 〇

アクセス制御と複数ユーザアカウント

X 〇

他のSplunkへのデータ転送／受信

〇 〇

開発用API 〇 〇

容量制限回数 過去30日に2回まで（3回以上でロック）

過去30日に4回まで（5回以上でロック）

ライセンス

http://www.splunk.com/view/free-vs-enterprise/SP-CAAAE8Whttp://www.macnica.net/splunk/test_def.html/http://splunk.intellilink.co.jp/product/details-3

• エンジニアサポートCROSS 2013 (http://www.cross-party.com/)にて、ランチセッションスポンサーとして講演されていたセッションに参加

• そこで、Splunkも持つポテンシャルを知るε=(ﾉﾟДﾟ)ﾉ

Splunkとの出会い

• その場で、展示ブースの営業と会話私：「LogStorage微妙なんですよね・・・」営業：「LogStorageなんて相手じゃないですね～」

営業：「まずは無料から簡単にインストールできるので、使ってみてください」「すぐにきれいなダッシュボード出せますよ。（￣ー+￣）どや」

• そーは、言われてもやってみないとわからない！ということで、やってみました。

て、事でやってみました！

その顛末をブログに！

• Splunk Universal Forwarder を使って外部サーバーからログを取得する

このページだけで、6,000字超！

• Splunk のパスワードリセット方法

• Splunk の通信をSSL対応させてみた

要は、初期導入でハマったんです・・・

• 初期はデフォルトで、SSL通信構成です！でも、自分が入れた頃はSSL構成の日本語ドキュメントない！＞＜

• 初期パスワードの後、入れたパスワード忘れた・・・(´・ω・｀)

• SSL構成のやり方教えてもらったよ！出来たよ！でも、社内LANだよ！ｗ

他にも・・・・スループット調整・sourcetype・検索コマンド

と、まあこんな事ありながら出来ました～

٩(๑❛ᴗ❛๑)۶

•「Apps」を使って、構築「Apps」はSplunkのコミュニティベースで開発されている「テンプレート」のようなもの・データの取り込み対象・ソースタイプ・グラフなどのレポート・検索テンプレートなどが、含まれます。

事例

Splunk Base 「Apps」

http://splunk-base.splunk.com/apps/

•Splunk for Squid

•Splunk for Postfix

•*NIX

•Google Maps

•Search(既定) のURL共有

事例

Client

社内からインターネットへのProxy兆候監視

☆Splunk for Squid

DM

Z

internet

ログ一括収集

ダッシュボード画面

☆Splunk for Squid

Client

社内Mailサーバーの兆候監視

・複数台構成の一部

☆Splunk for Postfix

internet

ログ一括収集

ダッシュボード画面

☆Splunk for Postfix・比較的検索テンプレートが豊富・レポートもキレイ！

UNIX系のサーバー状況モニタ

☆ *NIX

・サーバー内で取得・一括取得も可能

画面例：

☆*NIX

例：

☆*NIX

・差分表示・変更履歴取得が可能

画面例：

「* | geoip clientip」

MAXMINDのDBを利用

☆Google Maps

標準App「検索」

☆ Search

標準機能！

こんな事ありませんか！？

・業務システム・振込処理など金銭に係る処理・ネットワーク上は誰でもアクセス可能

例：監査対応の月次アクセス監視金銭が関わるシステムなど

こんなことありませんか！？

報告書提出

ログ「grep」

鈴木さん！

いつものお願いします♡

出来ました～！^^;

はい、は～い！

事務職♡

ちょっと・・・すぐとは言え

・作業止められると、集中力切れるし (´・ω・｀)・エンジニア休めないよ！(´・ω・｀)

それに、小細工したみたいな疑いかけられたくないし

それなら、いいのあるわよ！

© 2011 Microsoft Corporation All Rights Reserved.

URL共有機能！☆

例：監査対応の月次アクセス監視金銭が関わるシステムなど

こうなりました！

報告書提出

鈴木さん、居ない！でも、Splunkあるわ！

画面から取得

事務職♡

ドヤっ！w

デモ

したかったんですが・・・

懇親会で！

要は、何を実現したかったか！

• 「一時切り分け」は誰でもできるように！

• それによって、人員が少なくてもデキる！

• 工数が減って「ゴール」が一緒ならいいんじゃないか！

困りごと

• まだ、ケーススタディ(検索の保存)がたくさんは用意できてないです。

• まだまだ「検索」について、共有したいです。

• 導入については「＃Splunk」で検索

Thank you！

ご清聴ありがとうございました！