Splunk の UI には、さまざまな機能が用意されています。Splunk の使用方法の詳細については、次の各項目を参照してください。
Splunk は、各種 App から構成されています。App は各種ビュー、ダッシュボード、および設定を利用して、データの背後にあるさまざまな関係を導き出します。現在あなたは、App「Getting Started」を使用しています。サーチ条件を作成するサーチ App も存在しています。デフォルトの Splunk ホームから、その他の App を起動できます。また、SplunkBase から新しい App を追加したり、独自の App を作成したりすることもできます。
App 間の移動
他の App に移動するには、右上にある [App] ドロップダウンを使用します。
あなたの Splunk にインストールされている App 一覧を表示するには、このページ右上の [App] メニューをクリックして [ホーム] を選択し、ホームに戻ってください。この操作により、「はじめに」App は終了しますが、ホームまたは [App] メニューで [はじめに] を選択すれば、ここに戻ることができます。
以前に Splunk を使用したことがありますか?何かお探しですか?
以前に Splunk のご利用経験がある方は、おそらくサーチ App をお探しのことでしょう。サーチ App に移動するには、右上の [App] メニューから [サーチ] を選択してください。
Splunk 管理オプションの大半は、Splunk Web (Splunk のユーザーインターフェイス) から利用できます。一部の環境設定は、管理者権限を持つ Splunk ユーザーのみが利用できます。この App で取り上げている環境設定を利用できない場合は、それらの機能にアクセスする権限がない可能性があります。
Splunk 管理の使用
環境設定と App は、Splunk 管理機能から実施します。Splunk 管理機能では、ほぼすべての設定を変更できます。Splunk 管理機能に移動するには、右上の [管理] リンクをクリックします。
ジョブ管理の使用
サーチを管理するには、ジョブ管理を使用します。サーチはすべてジョブとして実行されます。システムで実行されているすべてのサーチを表示、管理するには、右上にある [ジョブ] リンクをクリックします。
他の App の追加
Splunk 用の App を参照、ダウンロードするには、ホームに戻って [他の App のサーチ] ボタンをクリックします。
独自の App を作成することもできます。詳細は、「Developer Manual (開発者マニュアル)」を参照してください。
Splunk は、マシンが生成したデータのインデックスを作成できます。構造化または非構造化データを問わず、あらゆるデータのインデックスを作成できます。独自のパーサー、コネクタ、アダプタなどは必要ありません。Splunk に UNIX サーバーやネットワーク機器の syslog、Windows のイベントログ、カスタムアプリケーションのログ、さらには設定情報やシステムメトリックなど、あらゆるデータを取り込んでください。そうすることにより、運用環境全体を的確に把握することができます。
Splunk に取り込める種データは、データ追加のワークフローに沿って確認することができます。また、取り込むデータの種類を指定できます。データの場所に応じて、そのデータを Splunk に取り込むための多彩な手段が用意されています。
Splunk は、任意のローカルデータのインデックスを作成できます (常時または 1 回のみ)。ファイルまたはディレクトリのインデックスを作成するように Splunk を設定するには、Splunk 管理機能を使用します。また、インデックスを作成する前にデータをプレビューし、Splunk によるデータの処理方法を定義したカスタムルールを作成することもできます。
ネットワーク上の他の Windows コンピュータからデータを収集するには、Splunk を使用します。ネットワーク構成により、いくつかのオプションが存在しています。
ネットワーク上の Windows 以外のコンピュータからデータを収集するには、Splunk を使用します。ネットワーク構成により、いくつかのオプションが存在しています。
TCP または UDP ポート経由で送信されるデータをキャプチャする場合に、この方法を使用します。たとえば、syslog データをキャプチャするには、UDP 514 ポートをリッスンするように Splunk を設定します。
データを Splunk に取り込むための手段は他にも用意されています。一般的なオプション例を以下に示します。
分散環境で複数のマシンからデータを収集する
アプリケーションファームやローカルにログを記録している Web サーバーなどの分散環境からどうやって Splunk に取り込むのかとお考えでしょう。Splunk のユニバーサルフォワーダーは軽量のエージェントで、数十台どころか数千台ものサーバーにデプロイしてデータをリアルタイムにキャプチャし、それを一元管理する Splunk インデックスサーバーに送信することができます。他のシステムから Splunk にデータを送信するには、ユニバーサルフォワーダーを使用します。転送の設定には、Splunk 管理機能を使用します。
独自の入力スクリプト作成
カスタムデータソースに関するスクリプト入力を作成します。スクリプト入力は、vmstat、iostat、netstat、top などのコマンド ラインツールに適しています。API や他のリモートデータインターフェイスおよびメッセージキューからデータを取得して、稼働システムおよび vmstat、iostat などの App ステータスコマンドから、メトリックやステータスデータを生成します。SplunkBase には、特定アプリケーション向けのスクリプト入力を提供する多彩な App が用意されています。スクリプト入力の設定には、Splunk 管理機能を使用します。
ファイルシステム変更の監視
ファイルシステムでどのような変更が行われたのかを監視することができます。ファイルシステム変更監視を設定すれば、変更が行われた場合にそれを確認することができます。重要なファイル、環境設定ファイル、その他コンプライアンス上必要なファイルを監視したり、セキュリティ/運用上の理由からシステムに影響を与える変更や不正な変更を監視したりする場合は、この方法を使用します。
Splunk にデータを取り込んだら、サーチ App を使用してセキュリティ事象の調査、アプリケーション、サーバー、およびネットワーク上の問題のトラブルシューティング、および予防の目的で問題発生前にシステム/ユーザー活動のレビューなどの作業を行えます。
データ内の任意の文字列をサーチします。
Splunk に到着したデータをリアルタイムにサーチします。
サーチ結果は、タイムラインデータと同様に対話操作できます。この節では、サーチ条件への単語の追加、削除、除外を手軽に行うための方法を説明していきます。
フリーフォームサーチは手軽で強力なサーチ手段ですが、常に期待通りの結果が返されるとは限りません。たとえば、HTTP ステータスコードが 200 のイベントをサーチから除外したい場合に、単に「NOT 200」と指定してサーチすると、IP アドレスに 200 が含まれるイベントはステータスコードが「503」でも表示されません。
Splunk はオリジナルのデータの各単語のインデックス作成時に、名前/値の組み合わせ、ヘッダー、またはその他の情報に基づいてフィールドをサーチ、追加します。たとえば、データの取得元に関する情報が、host、source、および sourcetype フィールドに自動的に追加されます。また、Splunk は IP アドレスや HTTP ステータスコードなどの、他の データ部を判別する場合もあります。また、この App の「ナレッジの追加」で説明しているように、独自のフィールドを追加することもできます。
サーチ結果に表示されているフィールドは、見出し [選択したフィールド] の下に記載されています。表示するフィールドは複数選択することができます。Splunkが自動検出したその他のフィールドは、[関連するフィールド]の下に記載されます。
タイムラインは、各時点で発生したイベント数を視覚的に表したものです。これを使って、イベントのパターンを強調表示したり、イベント発生のピーク時や低下時を調査したりすることができます。
サーチアシスタントを利用すれば、サーチ条件を手軽に作成することができます。このアシスタントは、使用例、使用コマンドの提案などの、サーチコマンドに関する詳細情報を提供しています。
Splunk では、IT データからナレッジを自動抽出したり、独自のナレッジをその場ですぐに追加したりできる、従来にはないサーチ手段を採用しています。イベント、フィールド、トランザクション、データのパターンおよび統計情報に関するナレッジを追加してください。このデータを識別、名前設定、タグ付けすることも可能です。
Splunk はこのナレッジをサーチ時にすべてマップするため、必要な時にいつでも新しいフィールドやイベントタイプを追加できます。データのインデックスを再作成する必要はありません。特定のユーザー名を持つすべてのイベントのサーチや特定のユーザー活動に関する統計情報の取得などを手軽に行えます。
データをサーチする際には、基本的には不要なイベントをすべて取り除きます。結果的に共通の特徴を持つイベントが残り、それらに対して総称的な名前 (イベントタイプ) を付けることができます。イベントタイプ名は、eventtype フィールドの値として追加されます。つまり、これらのイベントグループに対して、他のフィールドと同じ方法でサーチを実行することができます。サーチをイベントタイプとして保存し、そのフィールドをサーチする例を次に説明していきます。
sshd ログインやファイアウォール拒否など、SSH およびファイアウォールの活動を調査するために頻繁にサーチを実施する場合、そのようなサーチをイベントタイプとして保存できます。また、結果に難解なエラーメッセージがある場合は、その詳細を表す名前を付けたイベントタイプとして保存できます。
新たなデータのインデックスを作成すると、Splunk が自動的にナレッジを抽出します。また、必要に応じていつでも新たなナレッジを追加できます。このとき、データのインデックスを再作成する必要はありません。この節では、新たなフィールドの抽出、保存方法について説明していきます。
タグは、フィールド値を共有するサーチ結果をグループ化する場合に役立ちます。タグは、eventtype、host、source、または sourcetype など、特定のフィールド値に付ける名前です。たとえば、ホストの値にサービス名や規制コンプライアンスに関するメモ (例:PCI) をタグ付けできます。
一般的には、次のような場合にタグを使用します。
タグをサーチする場合、すべてのフィールドに対してのサーチと特定のフィールドに対してのサーチの 2 種類の方法があります。
Splunk は、他にもさまざまな目的で活用できます。あなたの会社のニーズを満たす最適な方法でデータを処理できます。デプロイした Splunk の最適化、管理、拡張方法については、マニュアル『ナレッジ管理』を参照してください。
ナレッジ管理マニュアルには、次のような情報が記載されています。
Splunk を使ってシステムの問題を発見、特定したら、モニターおよびアラート機能を使って、問題が再発した場合にそれを通知することができます。必要なときに実行できるようにサーチを保存したり、アラートを設定して問題を監視したりできます。サーチ結果が定義した条件を満たす場合に、アラートを生成するように設定します。イベントの発生時にリアルタイムにアラートを生成することもできます。
任意のサーチをアラートにすることができます。アラートは、電子メールまたは RSS により通知されます。また、スクリプトを実行するようなアラートを設定することもできます。
Splunk の視覚化ツールを使ってレポートを作成できます。Splunk には、レポートに関するさまざまなオプションが用意されています。サーチ結果から単純な「トップ値の推移」レポートを直接作成することができます。グラフをきめ細かく定義して書式設定を行うには、レポートビルダーを使用します。また、Splunk の強力な統計コマンドを活用して手動でレポートを定義できます。さらに、レポートを他のユーザーと共有するためのダッシュボードを素早く作成することも可能です。
サーチの実行後、サーチ結果のフィールドに関する基本的な情報を記載したレポートを素早く作成することができます。
レポートを作成、書式設定するには、レポートビルダーを起動します。
[レポートビルダー] ドロップダウンリストを使ってレポートを定義する場合、レポートビルダーのサーチボックスの内容が、レポートの実行に用いられる統計レポートコマンドに変わります。この節では、このようなレポートコマンドを、サーチバーから直接使用する方法について説明していきます。
レポートを実行する際には、サーチを実行しながらレポートの結果をプレビューできます。これにより、特に長期間に渡ってサーチを実行している場合などに、時間を節約することができます。レポートコマンドを使ってサーチを実行する場合、デフォルトでレポートのプレビューが有効になっています。長期間に渡るサーチを実行する場合などは、ぜひこの機能をお試しください。
サーチやレポートを保存、共有するには、ダッシュボードを作成します。ダッシュボードは、役に立つレポートの保管場所で、それを他のユーザーにも利用させることができます。最初からダッシュボードを作成することも、レポートの作成時に作成することも可能です。
最初からダッシュボードを作成することもできます。
Splunk で他にどのようなことができるのか、その他の詳細情報をお探しですか?ここには、その他の Splunk オンラインドキュメントへのリンクを記載しています。