Splunk について

Splunk は、任意の IT データのインデックス作成、検索、アラート、レポートをリアルタイムに行います。アプリケーション管理、IT 運用、セキュリティ、コンプライアンスなどさまざまな場面に活用できます。Splunk では、ログファイル、システムメトリック、アプリケーション、設定ファイルなどあらゆるデータを取り込み、利用することができます。

詳細については、以下の各項目をクリックしてください。

概要

Splunk の UI には、さまざまな機能が用意されています。Splunk の使用方法の詳細については、次の各項目を参照してください。

今どこにいるのか?

Splunk は、各種 App から構成されています。App は各種ビュー、ダッシュボード、および設定を利用して、データの背後にあるさまざまな関係を導き出します。現在あなたは、App「Getting Started」を使用しています。検索条件を作成する検索 App も存在しています。デフォルトの Splunk ホームから、その他の App を起動できます。また、SplunkBase から新しい App を追加したり、独自の App を作成したりすることもできます。

App 間の移動

他の App に移動するには、右上にある [App] ドロップダウンを使用します。

screenshow_uploadLocal

あなたの Splunk にインストールされている App 一覧を表示するには、このページ右上の [App] メニューをクリックして [ホーム] を選択し、ホームに戻ってください。この操作により、「はじめに」App は終了しますが、ホームまたは [App] メニューで [はじめに] を選択すれば、ここに戻ることができます。

以前に Splunk を使用したことがある場合。何かお探しですか?

以前に Splunk のご利用経験がある方は、おそらく検索 App をお探しのことでしょう。検索 App に移動するには、右上の [App] メニューから [検索] を選択してください。

Splunk の管理

Splunk 管理オプションの大半は、Splunk Web (Splunk のユーザーインターフェイス) から利用できます。一部の環境設定は、管理者権限を持つ Splunk ユーザーのみが利用できます。この App で取り上げている環境設定を利用できない場合は、それらの機能にアクセスする権限がない可能性があります。

Splunk 管理の使用

環境設定と App は、Splunk 管理機能で管理します。Splunk 管理機能では、ほぼすべての設定を変更できます。Splunk 管理機能に移動するには、右上の [管理] リンクをクリックします。

screenshow_uploadLocal

ジョブ管理の使用

検索を管理するには、ジョブ管理を使用します。検索はすべてジョブとして実行されます。システムで実行されているすべての検索を表示、管理するには、右上にある [ジョブ] リンクをクリックします。

screenshow_uploadLocal

他の App の追加

Splunk 用の App を参照、ダウンロードするには、ホームに戻って [他の App を参照] タブをクリックします。

独自の App を作成することもできます。詳細は、「Developer Manual (開発者マニュアル)」を参照してください。

データのインデックス作成

Splunk は、マシンが生成したデータのインデックスを作成できます。構造化または非構造化データを問わず、あらゆるデータのインデックスを作成できます。独自のパーサー、コネクタ、アダプタなどは必要ありません。Splunk に UNIX サーバーやネットワーク機器の syslog、Windows のイベントログ、カスタムアプリケーションのログ、さらには環境設定やシステムメトリックなど、あらゆるデータを取り込んでください。そうすることにより、運用環境全体を的確に把握することができます。

Splunk に取り込んだ各種データは、ワークフローで確認できます。また、取り込むデータの種類を指定できます。データの場所に応じて、そのデータを Splunk に取り込むための多彩な手段が用意されています。

この Splunk サーバー上

Splunk は、任意のローカルデータのインデックスを作成できます (常時または 1 回のみ)。ファイルまたはディレクトリのインデックスを作成するように Splunk を設定するには、Splunk 管理機能を使用します。また、インデックスを作成する前にデータをプレビューし、Splunk によるデータの処理方法を定義したカスタムルールを作成することもできます。

  1. [管理] » [データ入力] » [ファイルとディレクトリ] をクリックします。
  2. [新規] をクリックします。
  3. この操作を行うと、データプレビュー画面が表示されます。ここでは、Splunk がファイルやディレクトリのデータを解析し、インデックスを作成する方法を定義したルール (ソースタイプ) を作成できます。
  4. データのプレビューが完了したら、1 つのファイルまたはディレクトリを追加して、即座に Splunk にデータのインデックスを作成させることができます。
  5. データのインデックス作成を継続的に行う場合は、[ファイルまたはディレクトリを監視] を選択します。
  6. ファイルのインデックス作成を 1 回のみ行う場合は、[Splunk サーバー上のファイルのインデックスを作成] を選択します。
  7. クライアントコンピュータからファイルをアップロードする場合は、[ローカルファイルのアップロード] を選択します。
  8. 他のオプションを設定する場合は、このページの残りの説明に従って作業を行ってください。たとえば、ホスト名、ソースタイプ、またはインデックスを設定します。また、これらのオプションの大半は設定しないでも、デフォルト値が使用されます。

リモート Windows マシン上

ネットワーク上の他の Windows コンピュータからデータを収集するには、Splunk を使用します。ネットワーク構成により、いくつかのオプションが存在しています。

  1. Windows 上で Splunk を実行している場合は、WMI を使って Windows イベントログや他のイベントログの収集、レジストリ監視、および Active Directory 監視を行えます。これらのオプションを表示するには、[管理] » [データ入力] を選択します。
  2. Splunk を Windows 以外のコンピュータ上で実行している場合は、エージェントを使って Windows マシンから Splunk にデータを送信することができます。リモートコンピュータ上にユニバーサルフォワーダーをインストールしてください。フォワーダーの詳細は、「ユニバーサルフォワーダー」を参照してください。
  3. また、ネットワーク上の共有ディレクトリにあるデータのインデックスを常時作成することもできます。Splunk 管理機能のデータ入力ページから、[ファイルまたはディレクトリを監視] を選択してください。次に、ファイルまたはディレクトリのフルパスを入力します。たとえば、Windows でローカルファイルを監視する場合は「c:\apache\apache.error.log」、リモートの Windows マシン上のファイルを監視する場合は「\\hostname\apache\apache.error.log」のように入力します。

Windows 以外のリモートマシン上

ネットワーク上の Windows 以外のコンピュータからデータを収集するには、Splunk を使用します。ネットワーク構成により、いくつかのオプションが存在しています。

  1. ネットワーク上の共有ディレクトリ内データのインデックスを常時作成できます。Splunk 管理機能のデータ入力ページから、[ファイルまたはディレクトリを監視] を選択してください。次に、ファイルまたはディレクトリのフルパスを入力します。UNIX でローカルファイルを監視する場合は「/var/log」、リモートディレクトリを監視する場合は「/mnt/www01/var/log」のような形式でパスを指定します。
  2. Splunk のユニバーサルフォワーダーを使って、その他任意のマシンから Splunk にデータを送信することもできます。リモートコンピュータ上にフォワーダーをエージェントとしてインストールし、Splunk サーバーにデータを送信するための、適切な設定を行ってください。フォワーダーの詳細は、「ユニバーサルフォワーダー」を参照してください。

ネットワーク上

TCP または UDP ポート経由で送信されるデータを捕捉する場合に、この方法を使用します。たとえば、syslog データを捕捉するには、UDP 514 ポートをリッスンするように Splunk を設定します。

  1. Splunk 管理機能のデータ入力ページに移動します。
  2. UDP ポートからのデータを追加する場合は、[UDP] の隣にある [新規] をクリックします。
  3. TCP ポートからのデータを追加する場合は、[TCP] の隣にある [新規] をクリックします。
  4. Splunk にリッスンさせるポートを指定します。
  5. 他のオプションを設定する場合は、このページの残りの説明に従って行ってください。

その他の取り込み手段

データを Splunk に取り込むための手段は他にも用意されています。一般的なオプション例を以下に示します。

分散環境で複数のマシンからデータを収集する

アプリケーションファームやローカルにログを記録している Web サーバーなどの分散環境からどうやって Splunk に取り込むのかとお考えでしょう。Splunk のユニバーサルフォワーダーは軽量のエージェントで、数十台どころか数千台ものサーバーに展開してデータをリアルタイムに捕捉し、それを中核となる Splunk インデックスサーバーに送信することができます。他のシステムから Splunk にデータを送信するには、ユニバーサルフォワーダーを使用します。転送の設定には、Splunk 管理機能を使用します。

独自の入力スクリプト作成

カスタムデータソースに関するスクリプト入力を作成します。スクリプト入力は、vmstat、iostat、netstat、top などのコマンド ラインツールに適しています。API や他のリモートデータインターフェイスおよびメッセージキューからデータを取得して、稼働システムおよび vmstat、iostat などの App ステータスコマンドから、メトリックやステータスデータを生成します。SplunkBase には、特定アプリケーション向けのスクリプト入力を提供する多彩な App が用意されています。スクリプト入力の設定には、Splunk 管理機能を使用します。

ファイルシステム変更の監視

ファイルシステムでどのような変更が行われたのかを監視することができます。ファイルシステム変更監視を設定すれば、変更が行われた場合にそれを確認することができます。重要なファイル、環境設定ファイル、その他コンプライアンス上必要なファイルを監視したり、セキュリティ/運用上の理由からシステムに影響を与える変更や不正な変更を監視したりする場合は、この方法を使用します。

検索

Splunk にデータを取り込んだら、検索 App を使用してセキュリティ事象の調査、アプリケーション、サーバー、およびネットワーク上の問題のトラブルシューティング、および予防の目的で問題発生前にシステム/ユーザー活動のレビューなどの作業を行えます。

フリーフォーム検索

データ内の任意の文字列を検索します。

  1. 検索 App に移動します。
  2. 検索バーに直接文字列を入力します。問題を調査する場合は、次のように検索を行います:
  3. screenshow_uploadLocal
  4. 各単語を組み合わた検索には、論理演算子を使用します。たとえば、Web 活動と無関係のエラーを検索する場合は、次のように指定します。
  5. screenshow_uploadLocal
  6. 単語パターンで検索する場合は、ワイルドカードを使用します。失敗したログイン試行 (たとえば「failed」または「failure」を含むメッセージ) を検索する場合は、次のように指定します。
  7. screenshow_uploadLocal

リアルタイム検索

Splunk に到着したデータをリアルタイムに検索します。

  1. 検索 App に移動します。
  2. フリーフォーム検索に入力します。リアルタイム検索は、Splunk のすべての検索言語をサポートしています。
  3. [リアルタイム] オプションを選択し、データ到着時にリアルタイムに検索結果を表示する時間範囲を選択します。
  4. screenshow_uploadLocal

検索結果の取り扱い

検索結果は、時系列データと同様に対話操作できます。この節では、検索条件への単語の追加、削除、除外を手軽に行うための方法を説明していきます。

  1. 検索 App に移動します。
  2. 任意の単語でデータ検索を実行します。
  3. マウスカーソルを検索結果上に移動します。カーソルを移動するとその単語やフレーズが強調表示されます。強調表示されている単語は、検索条件に追加することができます。
  4. 検索結果の単語を強調表示してそれをクリックしてください。検索バーの検索条件にその単語が追加され、前の検索結果の中でこの条件に一致しないものは表示されなくなります。
  5. また、検索結果内ですでに強調表示されている単語をクリックすると、その単語が検索条件から削除されます。
  6. また、除外する単語を指定することもできます。単語を強調表示して Alt キーを押しながらクリック (Windows の場合は Ctrl キーを押しながらクリック) すると、ブール式の NOT を使ってその単語を除外するように検索条件が更新されます。

フィールドを使用した検索

フリーフォーム検索は手軽で強力な検索手段ですが、常に期待通りの結果が返されるとは限りません。たとえば、HTTP ステータスコードが 200 のイベントを検索から除外したい場合に、単に「NOT 200」と指定して検索すると、IP アドレスに 200 が含まれるイベントはステータスコードが「503」でも表示されません。

Splunk はオリジナルのデータの各単語のインデックス作成時に、名前/値の組み合わせ、ヘッダー、またはその他の情報に基づいてフィールドを検索、追加します。たとえば、データの取得元に関する情報が、host、source、および sourcetype フィールドに自動的に追加されます。また、Splunk は IP アドレスや HTTP ステータスコードなどの、他の データ部を判別する場合もあります。また、この App の「ナレッジの追加」で説明しているように、独自のフィールドを追加することもできます。

  1. 検索 App に移動します。
  2. たとえば、Web 活動を次のように検索します。
  3. screenshow_uploadLocal
  4. 検索結果の左側には、[フィールド] メニューがあります。これらのフィールドは、Splunk が自動的に検出し、追加したものです。
  5. screenshow_uploadLocal

    検索結果に表示されているフィールドは、見出し [選択したフィールド] の下に記載されています。表示するフィールドは複数選択することができます。Splunkが自動検出したその他のフィールドは、[関連するフィールド]の下に記載されます。

  6. 各フィールド名の隣には、検索結果のフィールドに存在する各種値数が表示されます。フィールド名をクリックすると、そのフィールドのトップ値が表示されます。フィールドの値をクリックすると、それが検索条件のフィルタとして追加されます。
  7. .
  8. Web データを検索する場合、[フィールドの選択] をクリックして、表示されるポップアップメニューから [ステータス] を選択すると、フィールドメニューに HTTP ステータスを追加できます。
  9. [ステータス] フィールドの値は、HTTP ステータスコード (200、503、404 など) になっています。これで、このナレッジを使って特定のフィールド値を検索したり、除外したりできます。たとえば、すべての Web アクセス失敗イベントを検索するには、次のように指定します。
  10. screenshow_uploadLocal
  11. フィールドで検索する際には、比較演算子 (>、<、>=、<=) を使用することもできます。たとえば、ステータス値が 300 より大きいすべてのイベントを表示する場合は、次のように検索します。
  12. screenshow_uploadLocal

時系列調査

時系列は、各時点で発生したイベント数を視覚的に表したものです。これを使って、イベントのパターンを強調表示したり、イベント発生のピーク時や低下時を調査したりすることができます。

  1. 検索 App に移動します。
  2. 「error」で検索を実行して、検索の右下に表示される時系列を確認してください。
  3. screenshow_uploadLocal
  4. 検索結果により時系列が更新されるにつれて、イベント発生のパターンが現れてきます。たとえば、時系列内の突端/谷間は、活動のピークやサーバーのダウンタイムを表している可能性があります。
  5. 時系列内のポイントをクリックして、マウスカーソルをバーの 2 番目のポイントまでドラッグします。検索結果が更新され、選択した時間範囲内に発生したイベントのみが表示されます。
  6. screenshow_uploadLocal
  7. 時系列内の 1 つのバーをクリックします。検索結果が更新され、選択したポイントの時点で発生したイベントのみが表示されます。
  8. screenshow_uploadLocal

検索アシスタントの使用

検索アシスタントを利用すれば、検索条件を手軽に作成することができます。このアシスタントは、使用例、使用コマンドの提案などの、検索コマンドに関する詳細情報を提供しています。

  1. 検索 App に移動します。
  2. 検索アシスタントを開くには、検索バーの下にある緑色の矢印をクリックします。
  3. screenshow_uploadLocal
  4. 検索バーが空の場合は、Splunk での検索に関する簡単な説明と、検索条件の作成方法が表示されます。デフォルトでは、検索コマンドに関する情報が表示されます。
  5. 検索アシスタントの左側には、検索コマンドの簡単な説明と使用例が表示されます。
  6. 検索アシスタントの右側には、コマンドの使用履歴および頻繁に使用されているコマンドが表示されます。

ナレッジの追加

Splunk では、IT データからナレッジを自動抽出したり、独自のナレッジをオンザフライで追加したりできる、従来にはない検索手段を採用しています。イベント、フィールド、トランザクション、データのパターンおよび統計情報に関するナレッジを追加してください。このデータを識別、名前設定、タグ付けすることも可能です。

Splunk はこのナレッジを検索時にすべてマップするため、必要な時にいつでも新しいフィールドやイベントタイプを追加できます。データのインデックスを再作成する必要はありません。特定のユーザー名を持つすべてのイベントの検索や特定のユーザー活動に関する統計情報の取得などを手軽に行えます。

類似イベントの分類

データを検索する際には、基本的には不要なイベントをすべて取り除きます。結果的に共通の特徴を持つイベントが残り、それらに対して総称的な名前 (イベントタイプ) を付けることができます。イベントタイプ名は、eventtype フィールドの値として追加されます。つまり、これらのイベントグループに対して、他のフィールドと同じ方法で検索を実行することができます。検索をイベントタイプとして保存し、そのフィールドを検索する例を次に説明していきます。

sshd ログインやファイアウォール拒否など、SSH およびファイアウォールの活動を調査するために頻繁に検索を実施する場合、そのような検索をイベントタイプとして保存できます。また、結果に難解なエラーメッセージがある場合は、その詳細を表す名前を付けたイベントタイプとして保存できます。

  1. 検索 App に移動します。
  2. ログイン試行などの SSH 活動を定期的に監視する場合、その検索をイベントタイプとして保存できます。まず、検索を実行します。たとえば、SSH ログインの検索は次のように行います。
  3. screenshow_uploadLocal
  4. 検索を実行したら、[作成] ドロップダウンメニューから [イベントタイプ...] を選択します。[イベントタイプの保存] ウィンドウが表示されます。
  5. screenshow_uploadLocal
  6. 画面の指示に従って、イベントタイプに名前を付けます。たとえば、「sshlogin」と言う名前を指定します。必要に応じて検索文字列を変更してください。また、イベントタイプのタグを定義することもできます。タグ付けについては、後ほど説明します。作業が完了したら、[保存] をクリックします。
  7. ログアウトやタイムアウトなど、他の SSH活動に関するイベントタイプを保存することもできます。これで、次のように SSH ログインを検索できます。
  8. screenshow_uploadLocal
  9. 他のイベントタイプを sshlogout や sshtimeout などの名前で保存している場合は、それを使ってすべての SSH イベントを素早く検索できます。
  10. screenshow_uploadLocal

新規フィールドの抽出

新たなデータのインデックスを作成すると、Splunk が自動的にナレッジを抽出します。また、必要に応じていつでも新たなナレッジを追加できます。このとき、データのインデックスを再作成する必要はありません。この節では、新たなフィールドの抽出、保存方法について説明していきます。

  1. 検索 App に移動します。
  2. host、source、または sourcetype の値に対して検索を実行します。任意のイベントセットに対するフィールドの抽出は、それらのイベントに関連するhost、source、または sourcetype の値にリンクされます。
  3. 結果からイベントを選択します。
  4. このイベントのタイムスタンプの隣にある、青いドロップダウン矢印をクリックします。メニューが表示されます。
  5. [フィールドの抽出] を選択します。[フィールドの抽出] ウィンドウが表示されます。
  6. screenshow_uploadLocal
  7. ページに表示される説明に従って作業を行います。たとえば、ユーザー名、ソース IP、宛先 IP のフィールドを追加します。

フィールド値のタグ付け

タグは、フィールド値を共有する検索結果をグループ化する場合に役立ちます。タグは、eventtype、host、source、または sourcetype など、特定のフィールド値に付ける名前です。たとえば、ホストの値にサービス名や規制コンプライアンスに関するメモ (例:PCI) をタグ付けできます。

一般的には、次のような場合にタグを使用します。

  • IP アドレスや ID 番号などの抽象的なフィールド値を追跡するために、場所や名前でグループ化できます。
  • 1 つのタグを使って一連のフィールド値をグループ化することで、簡単なコマンド 1 つでそれらの検索を行えます。
  • 特定の抽出されたフィールドに、それらの特徴をさまざまな観点から表した複数のタグを付けることで、タグに基づく検索を実行し、素早く目的の結果を探し出すことができます。

タグの検索には、2 種類の方法があります。すべてのイベントに対してタグを検索することも、特定のフィールドに対してタグを検索することもできます。

  1. 「拒否」 (deny) のタグが付いたフィールドを持つイベントを検索する場合:
  2. screenshow_uploadLocal
  3. イベントタイプタグ deny を持つイベントのみを検索する場合:
  4. screenshow_uploadLocal

Splunk ナレッジの詳細

Splunk は、他にもさまざまな目的で活用できます。あなたの会社のニーズを満たす最適な方法でデータを処理できます。展開した Splunk の最適化、管理、拡張方法については、マニュアル『ナレッジ管理』を参照してください。

ナレッジ管理マニュアルには、次のような情報が記載されています。

  • イベント、イベントタイプ、フィールド、ソースタイプ、タグ、トランザクションなどの、Splunk の「ナレッジオブジェクト」の管理方法。
  • ルックアップや別名指定などの、フィールドに関する作業の最良事例。
  • 概念的に関連しているイベントのトランザクションへのグループ化方法。

モニターとアラート

Splunk を使ってシステムの問題を発見、特定したら、モニターおよびアラート機能を使って、問題が再発した場合にそれを通知することができます。必要なときに実行できるように検索を保存したり、アラートを設定して問題を監視したりできます。検索結果が定義した条件を満たす場合に、アラートを生成するように設定します。イベントの発生時にリアルタイムにアラートを生成することもできます。

検索の保存

  1. 目的の結果を表示する検索条件を作成します。
  2. 検索の実行が完了したら、検索バーの下にある [保存] ドロップダウンから、[検索の保存] を選択します。
  3. screenshow_uploadLocal
  4. 検索の保存ダイアログが表示されます。
  5. screenshow_uploadLocal
  6. 他のオプションを設定する場合は、このページの残りの説明に従って作業を行ってください。

アラートの設定

任意の検索をアラートにすることができます。アラートは、電子メールまたは RSS により通知されます。また、スクリプトを実行するようなアラートを設定することもできます。

  1. 検索をアラートとして設定するには、検索バーの下にある [作成] ドロップダウンから [アラートの作成] を選択します。
  2. screenshow_uploadLocal
  3. アラートの作成ダイアログが表示されます。
  4. screenshow_uploadLocal
  5. ダイアログの説明に従って、1 つまたは複数のアラート方法を設定します。Splunk からメールで通知する場合は、Splunk サーバーで sendmail (または他の MTA) が有効になっていることを確認してください。

レポートと分析

Splunk の視覚化ツールを使ってレポートを作成できます。Splunk には、レポートに関するさまざまなオプションが用意されています。検索結果から単純な「トップ値の推移」レポートを直接作成することができます。グラフをきめ細かく定義して書式設定を行うには、レポートビルダーを使用します。また、Splunk の強力な統計コマンドを活用して手動でレポートを定義できます。さらに、レポートを他のユーザーと共有するためのダッシュボードを素早く作成することも可能です。

簡易レポートの作成

検索の実行後、検索結果のフィールドに関する基本的な情報を記載したレポートを素早く作成することができます。

  1. 検索 App に移動します。
  2. 作成するレポートに合わせて、任意の単語またはフィールドで検索を実行します。
  3. 検索が完了したら、検索結果が表示されているサイドバーからレポートを作成するフィールドを探し、それをクリックします。たとえば、一連のユーザー ID に関するレポートを作成する場合は、UID を選択します。
  4. screenshow_uploadLocal
  5. ポップアップウィンドウに、選択したフィールドに関する情報が表示されます。各フィールドのレポートを表示することができます。「平均の推移」や「総合トップ値」など、適切なレポートを選択してください。
  6. screenshow_uploadLocal
  7. レポートビルダーは個別のウィンドウに表示されます。このウィンドウには、検索の結果返されたイベントデータに基づくグラフが表示されます。ここから、レポートの書式の変更、保存、印刷などさまざまな作業を行えます。

レポートビルダーの使用

レポートを作成、書式設定するには、レポートビルダーを起動します。

  1. 検索 App に移動します。
  2. 作成するレポートに合わせて、任意の単語またはフィールドで検索を実行します。
  3. 時系列の [作成] メニューには、レポートを作成するためのリンクがあります。このリンクをクリックすると、レポートビルダーが起動されます。(検索の完了を待たずにレポートビルダーを起動できます)
  4. screenshow_uploadLocal
  5. 時系列の下にある [結果グラフ] ボタンをクリックして、時系列ビューから直接レポートを作成することもできます。
  6. screenshow_uploadLocal

レポートコマンドの使用

[レポートビルダー] ドロップダウンリストを使ってレポートを定義する場合、レポートビルダーの検索ボックスの内容が、レポートの実行に用いられる統計レポートコマンドに変わります。この節では、このようなレポートコマンドを、検索バーから直接使用する方法について説明していきます。

注意:以下の検索例では、Splunk の内部インデックス情報を活用していますが、この情報は管理権限を持つユーザーのみが利用できます。

  1. 検索 App に移動します。
  2. 任意の単語でデータ検索を実行します。
  3. 検索単語とパイプ記号および基本的なレポートコマンドを使用します。たとえば、この基本レポートでは、内部 Splunk インデックスから上位 5 件の一般的なソースを検索します。
  4. screenshow_uploadLocal
  5. 結果をグラフで表示するには、時系列の下にある [結果グラフ] ボタンを選択します。必要に応じて、[書式設定] オプションを使って、レポートの書式を変更してください。
  6. より詳細なレポートを作成する場合は、「ユーザーマニュアル」に記載されている Splunk レポートコマンドの説明を参照してください。

レポートのプレビュー

レポートを実行する際には、検索を実行しながらレポートの結果をプレビューできます。これにより、特に長期間に渡って検索を実行している場合などに、時間を節約することができます。レポートコマンドを使って検索を実行する場合、デフォルトでレポートのプレビューが有効になっています。長期間に渡る検索を実行する場合などは、ぜひこの機能をお試しください。

  1. 検索 App に移動します。
  2. 検索バーにレポート情報を入力します。
  3. レポートの実行中、結果領域にはプレビューが表示されます。
  4. レポートの内容が不満で、実行が完了する前に設定を変更したい場合は、[キャンセル] ボタンをクリックして、検索条件を変更してください。

ダッシュボードの作成

検索やレポートを保存、共有するには、ダッシュボードを作成します。ダッシュボードは、役に立つレポートの保管場所で、それを他のユーザーにも利用させることができます。最初からダッシュボードを作成することも、レポートの作成時に作成することも可能です。

  1. 検索 App に移動します。
  2. すでにレポートまたは検索条件を作成中の場合、検索バーの下には [ダッシュボードに追加] リンクが表示されます。このリンクを使ってレポートを既存のダッシュボードに追加したり、新たなダッシュボードを作成したりできます。
  3. screenshow_uploadLocal

最初からダッシュボードを作成することもできます。

  1. [ダッシュボード&ビュー]ドロップダウンメニューから[新しいダッシュボードの作成]を選択します。
  2. screenshow_uploadLocal
  3. [新しいダッシュボードの作成] ウィンドウが表示されます。ダッシュボードの基本名 (ダッシュボード ID) と詳細名 (ダッシュボード名) を指定します。作業が完了したら、[作成] をクリックします。
  4. 作成直後のダッシュボードは空になっています。[ダッシュボードの編集] をクリックすると [編集] ウィンドウが表示されます。ここからパネルタイプとそのパネルに表示する保存済み検索を選択することができます。ダッシュボードに新たなパネルを追加するには、[パネルの追加] をクリックします。
  5. パネル名や形式の変更、またはベースとなる検索の更新を行う場合は、[パネルの編集] をクリックします。
  6. 他にもパネルを作成する場合は、最後の 2 つのステップを繰り返します。各パネルをドラッグして、位置を調整してください。
  7. これで作業は完了です![閉じる] をクリックして、ダッシュボードの外観を確認してください。内容を変更したい場合は、ページ上部にある [アクション] メニューから [ダッシュボードの編集...] を選択して、適切な変更を行ってください。

その他

Splunk で他にどのようなことができるのか、その他の詳細情報をお探しですか?ここには、その他の Splunk オンラインドキュメントへのリンクを記載しています。