Splunk の UI には、さまざまな機能が用意されています。Splunk の使用方法の詳細については、次の各項目を参照してください。
Splunk は、各種 App から構成されています。App は各種ビュー、ダッシュボード、および設定を利用して、データの背後にあるさまざまな関係を導き出します。現在あなたは、App「Getting Started」を使用しています。検索条件を作成する検索 App も存在しています。デフォルトの Splunk ホームから、その他の App を起動できます。また、SplunkBase から新しい App を追加したり、独自の App を作成したりすることもできます。
App 間の移動
他の App に移動するには、右上にある [App] ドロップダウンを使用します。
あなたの Splunk にインストールされている App 一覧を表示するには、このページ右上の [App] メニューをクリックして [ホーム] を選択し、ホームに戻ってください。この操作により、「はじめに」App は終了しますが、ホームまたは [App] メニューで [はじめに] を選択すれば、ここに戻ることができます。
以前に Splunk を使用したことがある場合。何かお探しですか?
以前に Splunk のご利用経験がある方は、おそらく検索 App をお探しのことでしょう。検索 App に移動するには、右上の [App] メニューから [検索] を選択してください。
Splunk 管理オプションの大半は、Splunk Web (Splunk のユーザーインターフェイス) から利用できます。一部の環境設定は、管理者権限を持つ Splunk ユーザーのみが利用できます。この App で取り上げている環境設定を利用できない場合は、それらの機能にアクセスする権限がない可能性があります。
Splunk 管理の使用
環境設定と App は、Splunk 管理機能で管理します。Splunk 管理機能では、ほぼすべての設定を変更できます。Splunk 管理機能に移動するには、右上の [管理] リンクをクリックします。
ジョブ管理の使用
検索を管理するには、ジョブ管理を使用します。検索はすべてジョブとして実行されます。システムで実行されているすべての検索を表示、管理するには、右上にある [ジョブ] リンクをクリックします。
他の App の追加
Splunk 用の App を参照、ダウンロードするには、ホームに戻って [他の App を参照] タブをクリックします。
独自の App を作成することもできます。詳細は、「Developer Manual (開発者マニュアル)」を参照してください。
Splunk は、マシンが生成したデータのインデックスを作成できます。構造化または非構造化データを問わず、あらゆるデータのインデックスを作成できます。独自のパーサー、コネクタ、アダプタなどは必要ありません。Splunk に UNIX サーバーやネットワーク機器の syslog、Windows のイベントログ、カスタムアプリケーションのログ、さらには環境設定やシステムメトリックなど、あらゆるデータを取り込んでください。そうすることにより、運用環境全体を的確に把握することができます。
Splunk に取り込んだ各種データは、ワークフローで確認できます。また、取り込むデータの種類を指定できます。データの場所に応じて、そのデータを Splunk に取り込むための多彩な手段が用意されています。
Splunk は、任意のローカルデータのインデックスを作成できます (常時または 1 回のみ)。ファイルまたはディレクトリのインデックスを作成するように Splunk を設定するには、Splunk 管理機能を使用します。また、インデックスを作成する前にデータをプレビューし、Splunk によるデータの処理方法を定義したカスタムルールを作成することもできます。
ネットワーク上の他の Windows コンピュータからデータを収集するには、Splunk を使用します。ネットワーク構成により、いくつかのオプションが存在しています。
ネットワーク上の Windows 以外のコンピュータからデータを収集するには、Splunk を使用します。ネットワーク構成により、いくつかのオプションが存在しています。
TCP または UDP ポート経由で送信されるデータを捕捉する場合に、この方法を使用します。たとえば、syslog データを捕捉するには、UDP 514 ポートをリッスンするように Splunk を設定します。
データを Splunk に取り込むための手段は他にも用意されています。一般的なオプション例を以下に示します。
分散環境で複数のマシンからデータを収集する
アプリケーションファームやローカルにログを記録している Web サーバーなどの分散環境からどうやって Splunk に取り込むのかとお考えでしょう。Splunk のユニバーサルフォワーダーは軽量のエージェントで、数十台どころか数千台ものサーバーに展開してデータをリアルタイムに捕捉し、それを中核となる Splunk インデックスサーバーに送信することができます。他のシステムから Splunk にデータを送信するには、ユニバーサルフォワーダーを使用します。転送の設定には、Splunk 管理機能を使用します。
独自の入力スクリプト作成
カスタムデータソースに関するスクリプト入力を作成します。スクリプト入力は、vmstat、iostat、netstat、top などのコマンド ラインツールに適しています。API や他のリモートデータインターフェイスおよびメッセージキューからデータを取得して、稼働システムおよび vmstat、iostat などの App ステータスコマンドから、メトリックやステータスデータを生成します。SplunkBase には、特定アプリケーション向けのスクリプト入力を提供する多彩な App が用意されています。スクリプト入力の設定には、Splunk 管理機能を使用します。
ファイルシステム変更の監視
ファイルシステムでどのような変更が行われたのかを監視することができます。ファイルシステム変更監視を設定すれば、変更が行われた場合にそれを確認することができます。重要なファイル、環境設定ファイル、その他コンプライアンス上必要なファイルを監視したり、セキュリティ/運用上の理由からシステムに影響を与える変更や不正な変更を監視したりする場合は、この方法を使用します。
Splunk にデータを取り込んだら、検索 App を使用してセキュリティ事象の調査、アプリケーション、サーバー、およびネットワーク上の問題のトラブルシューティング、および予防の目的で問題発生前にシステム/ユーザー活動のレビューなどの作業を行えます。
データ内の任意の文字列を検索します。
Splunk に到着したデータをリアルタイムに検索します。
検索結果は、時系列データと同様に対話操作できます。この節では、検索条件への単語の追加、削除、除外を手軽に行うための方法を説明していきます。
フリーフォーム検索は手軽で強力な検索手段ですが、常に期待通りの結果が返されるとは限りません。たとえば、HTTP ステータスコードが 200 のイベントを検索から除外したい場合に、単に「NOT 200」と指定して検索すると、IP アドレスに 200 が含まれるイベントはステータスコードが「503」でも表示されません。
Splunk はオリジナルのデータの各単語のインデックス作成時に、名前/値の組み合わせ、ヘッダー、またはその他の情報に基づいてフィールドを検索、追加します。たとえば、データの取得元に関する情報が、host、source、および sourcetype フィールドに自動的に追加されます。また、Splunk は IP アドレスや HTTP ステータスコードなどの、他の データ部を判別する場合もあります。また、この App の「ナレッジの追加」で説明しているように、独自のフィールドを追加することもできます。
検索結果に表示されているフィールドは、見出し [選択したフィールド] の下に記載されています。表示するフィールドは複数選択することができます。Splunkが自動検出したその他のフィールドは、[関連するフィールド]の下に記載されます。
時系列は、各時点で発生したイベント数を視覚的に表したものです。これを使って、イベントのパターンを強調表示したり、イベント発生のピーク時や低下時を調査したりすることができます。
検索アシスタントを利用すれば、検索条件を手軽に作成することができます。このアシスタントは、使用例、使用コマンドの提案などの、検索コマンドに関する詳細情報を提供しています。
Splunk では、IT データからナレッジを自動抽出したり、独自のナレッジをオンザフライで追加したりできる、従来にはない検索手段を採用しています。イベント、フィールド、トランザクション、データのパターンおよび統計情報に関するナレッジを追加してください。このデータを識別、名前設定、タグ付けすることも可能です。
Splunk はこのナレッジを検索時にすべてマップするため、必要な時にいつでも新しいフィールドやイベントタイプを追加できます。データのインデックスを再作成する必要はありません。特定のユーザー名を持つすべてのイベントの検索や特定のユーザー活動に関する統計情報の取得などを手軽に行えます。
データを検索する際には、基本的には不要なイベントをすべて取り除きます。結果的に共通の特徴を持つイベントが残り、それらに対して総称的な名前 (イベントタイプ) を付けることができます。イベントタイプ名は、eventtype フィールドの値として追加されます。つまり、これらのイベントグループに対して、他のフィールドと同じ方法で検索を実行することができます。検索をイベントタイプとして保存し、そのフィールドを検索する例を次に説明していきます。
sshd ログインやファイアウォール拒否など、SSH およびファイアウォールの活動を調査するために頻繁に検索を実施する場合、そのような検索をイベントタイプとして保存できます。また、結果に難解なエラーメッセージがある場合は、その詳細を表す名前を付けたイベントタイプとして保存できます。
新たなデータのインデックスを作成すると、Splunk が自動的にナレッジを抽出します。また、必要に応じていつでも新たなナレッジを追加できます。このとき、データのインデックスを再作成する必要はありません。この節では、新たなフィールドの抽出、保存方法について説明していきます。
タグは、フィールド値を共有する検索結果をグループ化する場合に役立ちます。タグは、eventtype、host、source、または sourcetype など、特定のフィールド値に付ける名前です。たとえば、ホストの値にサービス名や規制コンプライアンスに関するメモ (例:PCI) をタグ付けできます。
一般的には、次のような場合にタグを使用します。
タグの検索には、2 種類の方法があります。すべてのイベントに対してタグを検索することも、特定のフィールドに対してタグを検索することもできます。
Splunk は、他にもさまざまな目的で活用できます。あなたの会社のニーズを満たす最適な方法でデータを処理できます。展開した Splunk の最適化、管理、拡張方法については、マニュアル『ナレッジ管理』を参照してください。
ナレッジ管理マニュアルには、次のような情報が記載されています。
Splunk を使ってシステムの問題を発見、特定したら、モニターおよびアラート機能を使って、問題が再発した場合にそれを通知することができます。必要なときに実行できるように検索を保存したり、アラートを設定して問題を監視したりできます。検索結果が定義した条件を満たす場合に、アラートを生成するように設定します。イベントの発生時にリアルタイムにアラートを生成することもできます。
任意の検索をアラートにすることができます。アラートは、電子メールまたは RSS により通知されます。また、スクリプトを実行するようなアラートを設定することもできます。
Splunk の視覚化ツールを使ってレポートを作成できます。Splunk には、レポートに関するさまざまなオプションが用意されています。検索結果から単純な「トップ値の推移」レポートを直接作成することができます。グラフをきめ細かく定義して書式設定を行うには、レポートビルダーを使用します。また、Splunk の強力な統計コマンドを活用して手動でレポートを定義できます。さらに、レポートを他のユーザーと共有するためのダッシュボードを素早く作成することも可能です。
検索の実行後、検索結果のフィールドに関する基本的な情報を記載したレポートを素早く作成することができます。
レポートを作成、書式設定するには、レポートビルダーを起動します。
[レポートビルダー] ドロップダウンリストを使ってレポートを定義する場合、レポートビルダーの検索ボックスの内容が、レポートの実行に用いられる統計レポートコマンドに変わります。この節では、このようなレポートコマンドを、検索バーから直接使用する方法について説明していきます。
注意:以下の検索例では、Splunk の内部インデックス情報を活用していますが、この情報は管理権限を持つユーザーのみが利用できます。
レポートを実行する際には、検索を実行しながらレポートの結果をプレビューできます。これにより、特に長期間に渡って検索を実行している場合などに、時間を節約することができます。レポートコマンドを使って検索を実行する場合、デフォルトでレポートのプレビューが有効になっています。長期間に渡る検索を実行する場合などは、ぜひこの機能をお試しください。
検索やレポートを保存、共有するには、ダッシュボードを作成します。ダッシュボードは、役に立つレポートの保管場所で、それを他のユーザーにも利用させることができます。最初からダッシュボードを作成することも、レポートの作成時に作成することも可能です。
最初からダッシュボードを作成することもできます。
Splunk で他にどのようなことができるのか、その他の詳細情報をお探しですか?ここには、その他の Splunk オンラインドキュメントへのリンクを記載しています。