Splunk について

Splunk は、任意の IT データのインデックス作成、サーチ、アラート、レポートをリアルタイムに行います。アプリケーション管理、IT 運用、セキュリティ、コンプライアンスなどさまざまな場面に活用できます。Splunk では、ログファイル、システムメトリック、アプリケーション、設定ファイルなどあらゆるデータを取り込み、利用することができます。

詳細については、以下の各項目をクリックしてください。

概要

Splunk の UI には、さまざまな機能が用意されています。Splunk の使用方法の詳細については、次の各項目を参照してください。

今どこにいるのか?

Splunk は、各種 App から構成されています。App は各種ビュー、ダッシュボード、および設定を利用して、データの背後にあるさまざまな関係を導き出します。現在あなたは、App「Getting Started」を使用しています。サーチ条件を作成するサーチ App も存在しています。デフォルトの Splunk ホームから、その他の App を起動できます。また、SplunkBase から新しい App を追加したり、独自の App を作成したりすることもできます。

App 間の移動

他の App に移動するには、右上にある [App] ドロップダウンを使用します。

screenshow_uploadLocal

あなたの Splunk にインストールされている App 一覧を表示するには、このページ右上の [App] メニューをクリックして [ホーム] を選択し、ホームに戻ってください。この操作により、「はじめに」App は終了しますが、ホームまたは [App] メニューで [はじめに] を選択すれば、ここに戻ることができます。

以前に Splunk を使用したことがありますか?何かお探しですか?

以前に Splunk のご利用経験がある方は、おそらくサーチ App をお探しのことでしょう。サーチ App に移動するには、右上の [App] メニューから [サーチ] を選択してください。

Splunk の管理

Splunk 管理オプションの大半は、Splunk Web (Splunk のユーザーインターフェイス) から利用できます。一部の環境設定は、管理者権限を持つ Splunk ユーザーのみが利用できます。この App で取り上げている環境設定を利用できない場合は、それらの機能にアクセスする権限がない可能性があります。

Splunk 管理の使用

環境設定と App は、Splunk 管理機能から実施します。Splunk 管理機能では、ほぼすべての設定を変更できます。Splunk 管理機能に移動するには、右上の [管理] リンクをクリックします。

screenshow_uploadLocal

ジョブ管理の使用

サーチを管理するには、ジョブ管理を使用します。サーチはすべてジョブとして実行されます。システムで実行されているすべてのサーチを表示、管理するには、右上にある [ジョブ] リンクをクリックします。

screenshow_uploadLocal

他の App の追加

Splunk 用の App を参照、ダウンロードするには、ホームに戻って [他の App のサーチ] ボタンをクリックします。

独自の App を作成することもできます。詳細は、「Developer Manual (開発者マニュアル)」を参照してください。

データのインデックス作成

Splunk は、マシンが生成したデータのインデックスを作成できます。構造化または非構造化データを問わず、あらゆるデータのインデックスを作成できます。独自のパーサー、コネクタ、アダプタなどは必要ありません。Splunk に UNIX サーバーやネットワーク機器の syslog、Windows のイベントログ、カスタムアプリケーションのログ、さらには設定情報やシステムメトリックなど、あらゆるデータを取り込んでください。そうすることにより、運用環境全体を的確に把握することができます。

Splunk に取り込める種データは、データ追加のワークフローに沿って確認することができます。また、取り込むデータの種類を指定できます。データの場所に応じて、そのデータを Splunk に取り込むための多彩な手段が用意されています。

この Splunk サーバー上

Splunk は、任意のローカルデータのインデックスを作成できます (常時または 1 回のみ)。ファイルまたはディレクトリのインデックスを作成するように Splunk を設定するには、Splunk 管理機能を使用します。また、インデックスを作成する前にデータをプレビューし、Splunk によるデータの処理方法を定義したカスタムルールを作成することもできます。

  1. [管理] » [データ入力] » [ファイルとディレクトリ] をクリックします。
  2. [新規] をクリックします。
  3. この操作を行うと、データプレビュー画面が表示されます。ここでは、Splunk がファイルやディレクトリのデータをパーシングし、インデックスを作成する方法を定義したルール (ソースタイプ) を作成できます。
  4. データのプレビューが完了したら、1 つのファイルまたはディレクトリを追加して、即座に Splunk にデータのインデックスを作成させることができます。
  5. データのインデックスを継続的に作成するには、[この Splunk インスタンスがアクセスできるファイル/ディレクトリからのデータのインデックスを継続的に作成] を選択します。
  6. クライアントコンピュータからファイルをアップロードする場合は、[ファイルのアップロードとインデックスの作成] を選択します。
  7. ファイルのインデックス作成を 1 回のみ行う場合は、[このSplunk サーバーからファイルのインデックスを 1 回作成] を選択します。
  8. 他のオプションを設定する場合は、このページの残りの説明に従って作業を行ってください。たとえば、ホスト名、ソースタイプ、またはインデックスを設定します。また、これらのオプションの大半は設定しなくても、デフォルト値が使用されます。

リモート Windows マシン上

ネットワーク上の他の Windows コンピュータからデータを収集するには、Splunk を使用します。ネットワーク構成により、いくつかのオプションが存在しています。

  1. Windows 上で Splunk を実行している場合は、WMI を使って Windows イベントログや他のイベントログの収集、レジストリ監視、および Active Directory 監視を行えます。これらのオプションを表示するには、[管理] » [データ入力] を選択します。
  2. Splunk を Windows 以外のコンピュータ上で実行している場合は、エージェントを使って Windows マシンから Splunk にデータを送信することができます。リモートコンピュータ上にユニバーサルフォワーダーをインストールしてください。フォワーダーの詳細は、「ユニバーサルフォワーダー」を参照してください。
  3. また、ネットワーク上の共有ディレクトリにあるデータのインデックスを常時作成することもできます。Splunk 管理機能のデータ入力ページから、[ファイルまたはディレクトリを監視] を選択してください。次に、ファイルまたはディレクトリのフルパスを入力します。たとえば、Windows でローカルファイルを監視する場合は「c:\apache\apache.error.log」、リモートの Windows マシン上のファイルを監視する場合は「\\hostname\apache\apache.error.log」のように入力します。

Windows 以外のリモートマシン上

ネットワーク上の Windows 以外のコンピュータからデータを収集するには、Splunk を使用します。ネットワーク構成により、いくつかのオプションが存在しています。

  1. ネットワーク上の共有ディレクトリ内データのインデックスを常時作成できます。Splunk 管理機能のデータ入力ページから、[ファイルまたはディレクトリを監視] を選択してください。次に、ファイルまたはディレクトリのフルパスを入力します。UNIX でローカルファイルを監視する場合は「/var/log」、リモートディレクトリを監視する場合は「/mnt/www01/var/log」のような形式でパスを指定します。
  2. Splunk のユニバーサルフォワーダーを使って、その他任意のマシンから Splunk にデータを送信することもできます。リモートコンピュータ上にフォワーダーをエージェントとしてインストールし、Splunk サーバーにデータを送信するための、適切な設定を行ってください。フォワーダーの詳細は、「ユニバーサルフォワーダー」を参照してください。

ネットワーク上

TCP または UDP ポート経由で送信されるデータをキャプチャする場合に、この方法を使用します。たとえば、syslog データをキャプチャするには、UDP 514 ポートをリッスンするように Splunk を設定します。

  1. Splunk 管理機能のデータ入力ページに移動します。
  2. UDP ポートからのデータを追加する場合は、[UDP] の隣にある [新規] をクリックします。
  3. TCP ポートからのデータを追加する場合は、[TCP] の隣にある [新規] をクリックします。
  4. Splunk にリッスンさせるポートを指定します。
  5. 他のオプションを設定する場合は、このページの残りの説明に従って作業を行ってください。

その他の取り込み手段

データを Splunk に取り込むための手段は他にも用意されています。一般的なオプション例を以下に示します。

分散環境で複数のマシンからデータを収集する

アプリケーションファームやローカルにログを記録している Web サーバーなどの分散環境からどうやって Splunk に取り込むのかとお考えでしょう。Splunk のユニバーサルフォワーダーは軽量のエージェントで、数十台どころか数千台ものサーバーにデプロイしてデータをリアルタイムにキャプチャし、それを一元管理する Splunk インデックスサーバーに送信することができます。他のシステムから Splunk にデータを送信するには、ユニバーサルフォワーダーを使用します。転送の設定には、Splunk 管理機能を使用します。

独自の入力スクリプト作成

カスタムデータソースに関するスクリプト入力を作成します。スクリプト入力は、vmstat、iostat、netstat、top などのコマンド ラインツールに適しています。API や他のリモートデータインターフェイスおよびメッセージキューからデータを取得して、稼働システムおよび vmstat、iostat などの App ステータスコマンドから、メトリックやステータスデータを生成します。SplunkBase には、特定アプリケーション向けのスクリプト入力を提供する多彩な App が用意されています。スクリプト入力の設定には、Splunk 管理機能を使用します。

ファイルシステム変更の監視

ファイルシステムでどのような変更が行われたのかを監視することができます。ファイルシステム変更監視を設定すれば、変更が行われた場合にそれを確認することができます。重要なファイル、環境設定ファイル、その他コンプライアンス上必要なファイルを監視したり、セキュリティ/運用上の理由からシステムに影響を与える変更や不正な変更を監視したりする場合は、この方法を使用します。

サーチ

Splunk にデータを取り込んだら、サーチ App を使用してセキュリティ事象の調査、アプリケーション、サーバー、およびネットワーク上の問題のトラブルシューティング、および予防の目的で問題発生前にシステム/ユーザー活動のレビューなどの作業を行えます。

フリーフォームサーチ

データ内の任意の文字列をサーチします。

  1. サーチ App に移動します。
  2. サーチバーに直接文字列を入力します。問題を調査する場合は、次のようにサーチを行います:
  3. screenshow_uploadLocal
  4. 各単語を組み合わたサーチには、論理演算子を使用します。たとえば、Web 活動と無関係のエラーをサーチする場合は、次のように指定します。
  5. screenshow_uploadLocal
  6. 単語パターンでサーチする場合は、ワイルドカードを使用します。失敗したログイン試行 (たとえば「failed」または「failure」を含むメッセージ) をサーチする場合は、次のように指定します。
  7. screenshow_uploadLocal

リアルタイムサーチ

Splunk に到着したデータをリアルタイムにサーチします。

  1. サーチ App に移動します。
  2. フリーフォームサーチに入力します。リアルタイムサーチは、Splunk のすべてのサーチ言語をサポートしています。
  3. [リアルタイム] オプションを選択し、データ到着時にリアルタイムにサーチ結果を表示する時間範囲を選択します。
  4. screenshow_uploadLocal

サーチ結果の取り扱い

サーチ結果は、タイムラインデータと同様に対話操作できます。この節では、サーチ条件への単語の追加、削除、除外を手軽に行うための方法を説明していきます。

  1. サーチ App に移動します。
  2. 任意の単語でデータサーチを実行します。
  3. マウスカーソルをサーチ結果上に移動します。カーソルを移動するとその単語やフレーズが強調表示されます。強調表示されている単語は、サーチ条件に追加することができます。
  4. サーチ結果の単語を強調表示してそれをクリックしてください。サーチバーのサーチ条件にその単語が追加され、前のサーチ結果の中でこの条件に一致しないものは表示されなくなります。
  5. また、サーチ結果内ですでに強調表示されている単語をクリックすると、その単語がサーチ条件から削除されます。
  6. また、除外する単語を指定することもできます。単語を強調表示して Alt キーを押しながらクリック (Windows の場合は Ctrl キーを押しながらクリック) すると、ブール式の NOT を使ってその単語を除外するようにサーチ条件が更新されます。

フィールドを使用したサーチ

フリーフォームサーチは手軽で強力なサーチ手段ですが、常に期待通りの結果が返されるとは限りません。たとえば、HTTP ステータスコードが 200 のイベントをサーチから除外したい場合に、単に「NOT 200」と指定してサーチすると、IP アドレスに 200 が含まれるイベントはステータスコードが「503」でも表示されません。

Splunk はオリジナルのデータの各単語のインデックス作成時に、名前/値の組み合わせ、ヘッダー、またはその他の情報に基づいてフィールドをサーチ、追加します。たとえば、データの取得元に関する情報が、host、source、および sourcetype フィールドに自動的に追加されます。また、Splunk は IP アドレスや HTTP ステータスコードなどの、他の データ部を判別する場合もあります。また、この App の「ナレッジの追加」で説明しているように、独自のフィールドを追加することもできます。

  1. サーチ App に移動します。
  2. たとえば、Web 活動を次のようにサーチします。
  3. screenshow_uploadLocal
  4. サーチ結果の左側には、[フィールド] メニューがあります。これらのフィールドは、Splunk が自動的に検出し、追加したものです。
  5. screenshow_uploadLocal

    サーチ結果に表示されているフィールドは、見出し [選択したフィールド] の下に記載されています。表示するフィールドは複数選択することができます。Splunkが自動検出したその他のフィールドは、[関連するフィールド]の下に記載されます。

  6. 各フィールド名の隣には、サーチ結果のフィールドに存在する各種値数が表示されます。フィールド名をクリックすると、そのフィールドのトップ値が表示されます。フィールドの値をクリックすると、それがサーチ条件のフィルタとして追加されます。
  7. .
  8. Web データをサーチする場合、[フィールドの選択] をクリックして、表示されるポップアップメニューから [ステータス] を選択すると、フィールドメニューに HTTP ステータスを追加できます。
  9. [ステータス] フィールドの値は、HTTP ステータスコード (200、503、404 など) になっています。これで、このナレッジを使って特定のフィールド値をサーチしたり、除外したりできます。たとえば、すべての Web アクセス失敗イベントをサーチするには、次のように指定します。
  10. screenshow_uploadLocal
  11. フィールドでサーチする際には、比較演算子 (>、<、>=、<=) を使用することもできます。たとえば、ステータス値が 300 より大きいすべてのイベントを表示する場合は、次のようにサーチします。
  12. screenshow_uploadLocal

タイムライン調査

タイムラインは、各時点で発生したイベント数を視覚的に表したものです。これを使って、イベントのパターンを強調表示したり、イベント発生のピーク時や低下時を調査したりすることができます。

  1. サーチ App に移動します。
  2. 「error」でサーチを実行して、サーチの右下に表示されるタイムラインを確認してください。
  3. screenshow_uploadLocal
  4. サーチ結果によりタイムラインが更新されるにつれて、イベント発生のパターンが現れてきます。たとえば、タイムライン内の突端/谷間は、活動のピークやサーバーのダウンタイムを表している可能性があります。
  5. タイムライン内のポイントをクリックして、マウスカーソルをバーの 2 番目のポイントまでドラッグします。サーチ結果が更新され、選択した時間範囲内に発生したイベントのみが表示されます。
  6. screenshow_uploadLocal
  7. タイムライン内の 1 つのバーをクリックします。サーチ結果が更新され、選択したポイントの時点で発生したイベントのみが表示されます。
  8. screenshow_uploadLocal

サーチアシスタントの使用

サーチアシスタントを利用すれば、サーチ条件を手軽に作成することができます。このアシスタントは、使用例、使用コマンドの提案などの、サーチコマンドに関する詳細情報を提供しています。

  1. サーチ App に移動します。
  2. サーチアシスタントを開くには、サーチバーの下にある緑色の矢印をクリックします。
  3. screenshow_uploadLocal
  4. サーチバーが空の場合は、Splunk でのサーチに関する簡単な説明と、サーチ条件の作成方法が表示されます。デフォルトでは、サーチコマンドに関する情報が表示されます。
  5. サーチアシスタントの右側には、コマンドの使用履歴および頻繁に使用されているコマンドが表示されます。
  6. サーチアシスタントの左側には、サーチコマンドの簡単な説明と使用例が表示されます。

ナレッジの追加

Splunk では、IT データからナレッジを自動抽出したり、独自のナレッジをその場ですぐに追加したりできる、従来にはないサーチ手段を採用しています。イベント、フィールド、トランザクション、データのパターンおよび統計情報に関するナレッジを追加してください。このデータを識別、名前設定、タグ付けすることも可能です。

Splunk はこのナレッジをサーチ時にすべてマップするため、必要な時にいつでも新しいフィールドやイベントタイプを追加できます。データのインデックスを再作成する必要はありません。特定のユーザー名を持つすべてのイベントのサーチや特定のユーザー活動に関する統計情報の取得などを手軽に行えます。

類似イベントの分類

データをサーチする際には、基本的には不要なイベントをすべて取り除きます。結果的に共通の特徴を持つイベントが残り、それらに対して総称的な名前 (イベントタイプ) を付けることができます。イベントタイプ名は、eventtype フィールドの値として追加されます。つまり、これらのイベントグループに対して、他のフィールドと同じ方法でサーチを実行することができます。サーチをイベントタイプとして保存し、そのフィールドをサーチする例を次に説明していきます。

sshd ログインやファイアウォール拒否など、SSH およびファイアウォールの活動を調査するために頻繁にサーチを実施する場合、そのようなサーチをイベントタイプとして保存できます。また、結果に難解なエラーメッセージがある場合は、その詳細を表す名前を付けたイベントタイプとして保存できます。

  1. サーチ App に移動します。
  2. ログイン試行などの SSH 活動を定期的に監視する場合、そのサーチをイベントタイプとして保存できます。まず、サーチを実行します。たとえば、SSH ログインのサーチは次のように行います。
  3. screenshow_uploadLocal
  4. サーチを実行したら、[作成] ドロップダウンメニューから [イベントタイプ...] を選択します。[イベントタイプの保存] ウィンドウが表示されます。
  5. screenshow_uploadLocal
  6. 画面の指示に従って、イベントタイプに名前を付けます。たとえば、「sshlogin」と言う名前を指定します。必要に応じてサーチ文字列を変更してください。また、イベントタイプのタグを定義することもできます。タグ付けについては、後ほど説明します。作業が完了したら、[保存] をクリックします。
  7. ログアウトやタイムアウトなど、他の SSH活動に関するイベントタイプを保存することもできます。これで、次のように SSH ログインをサーチできます。
  8. screenshow_uploadLocal
  9. 他のイベントタイプを sshlogout や sshtimeout などの名前で保存している場合は、それを使ってすべての SSH イベントを素早くサーチできます。
  10. screenshow_uploadLocal

新規フィールドの抽出

新たなデータのインデックスを作成すると、Splunk が自動的にナレッジを抽出します。また、必要に応じていつでも新たなナレッジを追加できます。このとき、データのインデックスを再作成する必要はありません。この節では、新たなフィールドの抽出、保存方法について説明していきます。

  1. サーチ App に移動します。
  2. host、source、または sourcetype の値に対してサーチを実行します。任意のイベントセットに対するフィールドの抽出は、それらのイベントに関連するhost、source、または sourcetype の値にリンクされます。
  3. 結果からイベントを選択します。
  4. このイベントのタイムスタンプの隣にある、青いドロップダウン矢印をクリックします。メニューが表示されます。
  5. [フィールドの抽出] を選択します。[フィールドの抽出] ウィンドウが表示されます。
  6. screenshow_uploadLocal
  7. ページに表示される説明に従って作業を行います。たとえば、ユーザー名、ソース IP、宛先 IP のフィールドを追加します。

フィールド値のタグ付け

タグは、フィールド値を共有するサーチ結果をグループ化する場合に役立ちます。タグは、eventtype、host、source、または sourcetype など、特定のフィールド値に付ける名前です。たとえば、ホストの値にサービス名や規制コンプライアンスに関するメモ (例:PCI) をタグ付けできます。

一般的には、次のような場合にタグを使用します。

  • IP アドレスや ID 番号などの抽象的なフィールド値を追跡するために、場所や名前でグループ化できます。
  • 1 つのタグを使って一連のフィールド値をグループ化することで、簡単なコマンド 1 つでそれらのサーチを行えます。
  • 特定の抽出されたフィールドに、それらの特徴をさまざまな観点から表した複数のタグを付けることで、タグに基づくサーチを実行し、素早く目的の結果を探し出すことができます。

タグをサーチする場合、すべてのフィールドに対してのサーチと特定のフィールドに対してのサーチの 2 種類の方法があります。

  1. 「拒否」 (deny) のタグが付いたフィールドを持つイベントをサーチする場合:
  2. screenshow_uploadLocal
  3. イベントタイプタグ deny を持つイベントのみをサーチする場合:
  4. screenshow_uploadLocal

Splunk ナレッジの詳細

Splunk は、他にもさまざまな目的で活用できます。あなたの会社のニーズを満たす最適な方法でデータを処理できます。デプロイした Splunk の最適化、管理、拡張方法については、マニュアル『ナレッジ管理』を参照してください。

ナレッジ管理マニュアルには、次のような情報が記載されています。

  • イベント、イベントタイプ、フィールド、ソースタイプ、タグ、トランザクションなどの、Splunk の「ナレッジオブジェクト」の管理方法。
  • ルックアップや別名指定などの、フィールドに関する作業のベストプラクティス。
  • 概念的に関連しているイベントのトランザクションへのグループ化方法。

モニターとアラート

Splunk を使ってシステムの問題を発見、特定したら、モニターおよびアラート機能を使って、問題が再発した場合にそれを通知することができます。必要なときに実行できるようにサーチを保存したり、アラートを設定して問題を監視したりできます。サーチ結果が定義した条件を満たす場合に、アラートを生成するように設定します。イベントの発生時にリアルタイムにアラートを生成することもできます。

サーチの保存

  1. 目的の結果を表示するサーチ条件を作成します。
  2. サーチの実行が完了したら、サーチバーの下にある [保存] ドロップダウンから、[サーチの保存] を選択します。
  3. screenshow_uploadLocal
  4. サーチの保存ダイアログが表示されます。
  5. screenshow_uploadLocal
  6. 他のオプションを設定する場合は、このページの残りの説明に従って作業を行ってください。

アラートの設定

任意のサーチをアラートにすることができます。アラートは、電子メールまたは RSS により通知されます。また、スクリプトを実行するようなアラートを設定することもできます。

  1. サーチをアラートとして設定するには、サーチバーの下にある [作成] ドロップダウンから [アラート] を選択します。
  2. screenshow_uploadLocal
  3. [アラートの作成] ダイアログが表示されます。
  4. screenshow_uploadLocal
  5. ダイアログの説明に従って、1 つまたは複数のアラート方法を設定します。Splunk からメールで通知する場合は、Splunk サーバーで sendmail (または他の MTA) が有効になっていることを確認してください。

レポートと分析

Splunk の視覚化ツールを使ってレポートを作成できます。Splunk には、レポートに関するさまざまなオプションが用意されています。サーチ結果から単純な「トップ値の推移」レポートを直接作成することができます。グラフをきめ細かく定義して書式設定を行うには、レポートビルダーを使用します。また、Splunk の強力な統計コマンドを活用して手動でレポートを定義できます。さらに、レポートを他のユーザーと共有するためのダッシュボードを素早く作成することも可能です。

簡易レポートの作成

サーチの実行後、サーチ結果のフィールドに関する基本的な情報を記載したレポートを素早く作成することができます。

  1. サーチ App に移動します。
  2. 作成するレポートに合わせて、任意の単語またはフィールドでサーチを実行します。
  3. サーチが完了したら、サーチ結果が表示されているサイドバーからレポートを作成するフィールドを探し、それをクリックします。たとえば、一連のユーザー ID に関するレポートを作成する場合は、UID を選択します。
  4. screenshow_uploadLocal
  5. ポップアップウィンドウに、選択したフィールドに関する情報が表示されます。各フィールドのレポートを表示することができます。「平均の推移」や「総合トップ値」など、適切なレポートを選択してください。
  6. screenshow_uploadLocal
  7. レポートビルダーは個別のウィンドウに表示されます。このウィンドウには、サーチの結果返されたイベントデータに基づくグラフが表示されます。ここから、レポートの書式の変更、保存、印刷などさまざまな作業を行えます。

レポートビルダーの使用

レポートを作成、書式設定するには、レポートビルダーを起動します。

  1. サーチ App に移動します。
  2. 作成するレポートに合わせて、任意の単語またはフィールドでサーチを実行します。
  3. タイムラインの [作成] メニューには、レポートを作成するためのリンクがあります。このリンクをクリックすると、レポートビルダーが起動されます。(サーチの完了を待たずにレポートビルダーを起動できます)
  4. screenshow_uploadLocal
  5. [結果] 領域の上にある [結果グラフ] ボタンをクリックして、タイムラインビューから直接レポートを作成することもできます。
  6. screenshow_uploadLocal

レポートコマンドの使用

[レポートビルダー] ドロップダウンリストを使ってレポートを定義する場合、レポートビルダーのサーチボックスの内容が、レポートの実行に用いられる統計レポートコマンドに変わります。この節では、このようなレポートコマンドを、サーチバーから直接使用する方法について説明していきます。

  1. サーチ App に移動します。
  2. 任意の単語でデータサーチを実行します。
  3. サーチ単語とパイプ記号および基本的なレポートコマンドを使用します。たとえば、この基本レポートでは、内部 Splunk インデックスから上位 5 件の一般的なソースをサーチします。
  4. screenshow_uploadLocal
  5. 結果をグラフで表示するには、タイムラインの下にある [結果グラフ] ボタンを選択します。必要に応じて、[書式設定] オプションを使って、レポートの書式を変更してください。
  6. より詳細なレポートを作成する場合は、「ユーザーマニュアル」に記載されている Splunk レポートコマンドの説明を参照してください。

レポートのプレビュー

レポートを実行する際には、サーチを実行しながらレポートの結果をプレビューできます。これにより、特に長期間に渡ってサーチを実行している場合などに、時間を節約することができます。レポートコマンドを使ってサーチを実行する場合、デフォルトでレポートのプレビューが有効になっています。長期間に渡るサーチを実行する場合などは、ぜひこの機能をお試しください。

  1. サーチ App に移動します。
  2. サーチバーにレポート生成サーチを入力します。
  3. レポートの実行中、結果領域にはプレビューが表示されます。
  4. レポートの内容が不満で、実行が完了する前に設定を変更したい場合は、[キャンセル] ボタンをクリックして、サーチ条件を変更してください。

ダッシュボードの作成

サーチやレポートを保存、共有するには、ダッシュボードを作成します。ダッシュボードは、役に立つレポートの保管場所で、それを他のユーザーにも利用させることができます。最初からダッシュボードを作成することも、レポートの作成時に作成することも可能です。

  1. サーチ App に移動します。
  2. サーチまたはレポートをすでに実行した場合は、[作成] メニューの [ダッシュボードパネル...] をクリックすると既存のダッシュボードにサーチまたはレポートを追加したり、新しいダッシュボードを作成したりできます。
  3. screenshow_uploadLocal

最初からダッシュボードを作成することもできます。

  1. [ダッシュボード&ビュー] メニューから [ダッシュボードの作成] を選択します。
  2. screenshow_uploadLocal
  3. [新しいダッシュボードの作成] ウィンドウが表示されます。ダッシュボードの基本名 (ダッシュボード ID) と詳細名 (ダッシュボード名) を指定します。作業が完了したら、[作成] をクリックします。
  4. 作成直後のダッシュボードは空になっています。[ダッシュボードの編集] をクリックすると [編集] ウィンドウが表示されます。ここからパネルタイプとそのパネルに表示する保存済みサーチを選択することができます。ダッシュボードに新たなパネルを追加するには、[パネルの追加] をクリックします。
  5. パネル名や形式の変更、またはベースとなるサーチの更新を行う場合は、[パネルの編集] をクリックします。
  6. 他にもパネルを作成する場合は、最後の 2 つのステップを繰り返します。各パネルをドラッグして、位置を調整してください。
  7. これで作業は完了です![閉じる] をクリックして、ダッシュボードの外観を確認してください。内容を変更したい場合は、ページ上部にある [アクション] メニューから [ダッシュボードの編集...] を選択して、適切な変更を行ってください。

その他

Splunk で他にどのようなことができるのか、その他の詳細情報をお探しですか?ここには、その他の Splunk オンラインドキュメントへのリンクを記載しています。