Splunk Enterprise 6.2.0 サーチチュートリアル

Splunk Enterprise 6.2.0
サーチチュートリアル
作成：2014 年 11 ⽉ 21 ⽇午後 4 時 16 分
Copyright (c) 2015 Splunk Inc. All Rights Reserved
Table of Contents
はじめに
サーチチュートリアルについて
3
3
パート 1：Splunk Enterpri se のダウンロードとインストール
3
このチュートリアルの要件
3
Linux、Windows、または Mac OS X への Splunk Enterprise のイン 4
ストール
Splunk Enterprise の開始と Splunk Web の起動
5
パート 2：Splunk Enterpri se について
Splunk Web 内の移動⽅法
7
7
パート 3：Splunk Enterpri se へのデータの取り込み
Splunk Enterprise へのデータの取り込みについて
Splunk へのチュートリアルデータの取り込み
10
10
11
パート 4：Splunk サーチの使⽤
サーチダッシュボードについて
タイムレンジピッカーについて
サーチアクションとモードについて
[サーチ結果] タブについて
13
13
16
18
19
パート 5：チュートリアルデータのサーチ
サーチ開始
フィールドを使⽤したサーチ
サーチ⾔語について
サブサーチの使⽤
フィールドルックアップの使⽤
22
22
24
29
32
34
パート 6：レポートの保存と共有：
レポートの保存と共有について
他のサーチとレポート
40
40
44
パート 7：ダッシュボードの作成
ダッシュボードについて
ダッシュボードとダッシュボードパネルの作成
ダッシュボードへの他のパネルの追加
50
50
51
55
次のステップ
その他の Splunk サーチのリソース
59
59
はじめに
サーチチュートリアルについて
Splunk サーチは、Splunk Enterprise を使ってサーチの実⾏、レポートの保存、およびダッシュボード作成を⾏
うための主要インターフェイスです。このサーチチュートリアルは、Splunk Enterprise および Splunk サーチ機
能を初めて使⽤するユーザーの⽅を対象にしています。
このチュートリアルの内容
このマニュアルは、データの追加、データのサーチ、サーチのレポートとしての保存、ダッシュボードの作成など
について説明していきます。Splunk サーチに関する知識のない⽅にとっては、このマニュアルが開始地点になり
ます。
「パート 1：Splunk のダウンロードとインストール」では、プラットフォーム上で Splunk Enterprise
をダウンロード、インストール、および開始するための⼀連の⼿順を説明しています。
「パート 2：Splunk Enterprise について」では、Splunk Enterprise およびサーチを使⽤するための
インターフェイスである Splunk Web について説明しています。
「パート 3：Splunk Enterprise へのデータの取り込み」では、Splunk Enterprise にチュートリア
ル・データを取り込む⽅法を説明しています。ダウンロードするチュートリアルデータは、架空のオンライ
ンゲームストアの Web サーバーと MySQL のログで構成されています。
「パート 4：Splunk サーチの使⽤」では、サーチ・ダッシュボード、タイムレンジ・ピッカー、サー
チ・アクション、およびその他のオプションなどを含めた、サーチ実⾏に必要な Splunk Web の概要を説明
しています。
「パート 5：チュートリアルデータのサーチ」では、フィールドの使⽤、サーチ⾔語の使⽤、サブサー
チ、およびフィールドのルックアップなどを含めた、さまざまなサーチ⽅法を説明しています。
「パート 6：レポートの保存と共有」では、サーチをレポートとして保存、共有する⼿順を説明していま
す。
「パート 7：ダッシュボードの作成」では、各種ビジネス・ニーズに応じたダッシュボードの作成⽅法に
ついて説明しています。
PDF を作成
このマニュアルの PDF 版が必要な場合は、このページの⽬次の左下にある⾚い [Download the Search
Tutorial as PDF ] リンクをクリックしてください。
注意： PDF ドキュメントからサーチを直接コピーして、Splunk Web に貼り付けないようにしてください。PDF
ドキュメントに含まれている隠し⽂字が原因で、エラーが発⽣する可能性があります。
パート 1：Splunk Enterprise のダウンロードとイ
ンストール
このチュートリアルの要件
このチュートリアルを開始する前に、Splunk Enterprise をダウンロード、インストールして、起動してくださ
い。
動作中の Splunk サーバーインスタンスにアクセスできる場合は、この章をスキップして「パート 2：
Splunk について」を参照してください。
システム要件
Splunk Enterprise は、Linux、UNIX、Windows、および Mac OSなど、数多くのコンピューティングプラット
フォーム上で動作します。このチュートリアルでは、表に記載されている仕様を満たすコンピュータまたはラップ
トップが必要です。
プラットフォーム
サポートする最低ハードウェア要件
Windows 以外のプラットフォーム 1x1.4 GHz CPU、1 GB RAM
Windows プラットフォーム
Pentium 4 または同等の 2GHz CPU、2GB RAM
マシン上に Splunk をインストールしたら、Web ブラウザを使ってアクセスします。Splunk 6.0+ は、最新版の
Firefox、Chrome、および Safari ブラウザをサポートしています。
これは、Splunk Enterprise システム要件の概要です。『インストール・マニュアル』の「システム要件」を参照
してください。
最新版の Splunk Enterprise のダウンロード
Splunk.com のダウンロードページから、最新版の Splunk Enterprise をダウンロードしてください。
Splunk.com にログインしていない場合、ダウンロードパッケージをクリックすると、登録⽤フォームが表⽰され
3
Splunk.com にログインしていない場合、ダウンロードパッケージをクリックすると、登録⽤フォームが表⽰され
ます。Splunk.com のアカウントをまだお持ちでない場合は、まず登録してください。
このチュートリアルは、Linux、Windows、および Mac OS X を対象にしています。また、各 OS 固有の機能を
各所で説明しています。
Linux 版の Splunk には、RedHat ⽤ RPM ダウンロード、Debian Linux ⽤ DEB パッケージ、および tar
ファイルインストーラの 3 種類のオプションが⽤意されています。このチュートリアルでは、これらの任
意のインストーラを使⽤できます。
Windows 版のインストーラは、MSI ファイルと圧縮形式の zip ファイルの 2 種類が⽤意されていま
す。このチュートリアルでは、MSI ファイルのインストーラを使⽤します。
Mac OS X インストーラは、DMG パッケージおよび tar ファイルインストーラの 2 種類が⽤意され
ています。このチュートリアルでは、DMG パッケージのグラフィカルなインストーラを使⽤します。
Splunk のライセンス
Splunk ライセンスは、ご利⽤の Splunk インスタンスが 1 ⽇あたりにインデックスを作成するデータ量を制限
しています。Splunk は Enterprise ライセンスまたは Free ライセンスで動作します。初めて Splunk をダウン
ロードした場合は、60 ⽇間有効な Enterprise トライアルライセンスが付いています。このトライアル・ライセ
ンスでは、サーバーは 500 MB/⽇のインデックスを作成でき、すべての Enterprise 機能を利⽤できます。詳細
は、『管理マニュアル』の「Splunk ライセンスの種類」を参照してください。
次のステップ
このセクションの残りのトピックは、Splunk Enterprise のインストールと開始について説明しています。
Linux、Windows、または Mac OS X への Splunk Enterprise のイ
ンストール
ここでは、Linux、Windows、または Mac OS X プラットフォームでの、簡単なインストール⼿順を説明してい
きます。
これらのプラットフォームでの Splunk Enterprise のインストールについて問題がある場合、またはこのチュー
トリアルを他のサポート対象 OS で学習したい場合は、そのプラットフォームに対応したインストール⼿順を参照
してから、「パート 2：Splunk Enterprise について」に進んでください。
Linux のインストール⼿順
Splunk Enterprise は、RPM、DEB、および圧縮 .tar ファイルの、3 種類の Linux インストーラを提供していま
す。各インストーラのインストール⼿順を説明していきます。
注意：コマンドラインインターフェイス (CLI) を使⽤する必要があります。インストールコマンドを⼊⼒する際
には、splunk_package_nameを Splunk Enterprise インストーラのファイル名に置き換えてください。
デフォルトで Splunk Enterprise は、Linux の
/opt/splunk
ディレクトリにインストールされます。
Splunk RPMをインストールするには：
1. CLI に以下の⽂字列を⼊⼒します。別のディレクトリに Splunk をインストールする場合は、オプションの
prefix フラグを指定してください。
--
rpm -i --prefix=/opt/new_directory splunk_package_name.rpm
Splunk DEB パッケージをインストールするには：
1. CLI に以下の⽂字列を⼊⼒します。Splunk DEB は、デフォルトの
ルできます。
/opt/splunk
ディレクトリにのみインストー
dpkg -i splunk_package_name.deb
圧縮 tar ファイルを使って Splunk をインストールするには：
1. tar コマンドを使って、適切なディレクトリにファイルを展開します。デフォルトのインストールディレクトリ
は、現在の作業ディレクトリ内の /splunk ディレクトリになります。/opt/splunk などの特定のディレクトリにイン
ストールする場合は、-C オプションを使⽤します。
tar xvzf splunk_package_name.tgz -C /opt
Linux への Splunk Enterprise のインストール⽅法の詳細は、『インストールマニュアル』に記載されている
Linux のインストール⼿順を参照してください。
Windows のインストール⼿順
MSI インストーラを使って Splunk Enterprise をインストールするには、以下の⼿順に従ってください。
1. インストーラを開始するには、splunk.msi ファイルをダブルクリックします。
2. [ようこそ！]パネルで、[次へ] をクリックします。
3. 使⽤許諾契約をお読みの上、[I accept the terms in the license agreement] (ライセンス条項に同意します)
4
チェックボックスを選択します。
4. [次へ] をクリックします。
5. [Customer Information] (顧客情報) に、要求されている情報を⼊⼒して、[次へ] をクリックします。
6. [Destination Folder] (宛先フォルダ) パネルで、[Change...] (変更) をクリックして別の場所を指定する
か、または [次へ] をクリックして、デフォルト値をそのまま使⽤します。
デフォルトでは、Splunk Enterprise は
\Program Files\Splunk
ディレクトリにインストールされます。
7. [Logon Information] パネルで、[Local system user] (ローカルシステムユーザー) を選択して、[次へ] を
クリックします。
他のユーザーオプションについては、『インストールマニュアル』の「Windows への Splunk Enterprise のイン
ストール」を参照してください。
8. ユーザーを指定すると、インストール前のサマリーパネルが表⽰されます。[インストール] をクリックしま
す。
9. 8. [Installation Complete] (インストール完了) パネルで、[Launch browser with Splunk] (Splunk を
ブラウザで起動) および [Create Start Menu Shortcut] ([スタート] メニューのショートカットを作成) ボック
スを選択します。
10. [完了] をクリックします。
インストールが完了し、Splunk Enterprise が開始され、サポートされているブラウザ内で Splunk Web が開始
されます。
Mac OS X へのインストール⼿順
DMG インストーラを使って Splunk をインストールするには、以下の⼿順に従ってください。
1. インストーラがあるフォルダまたはディレクトリに移動します。
2. DMG ファイルをダブルクリックします。
splunk.pkg
を含む Finder ウィンドウが表⽰されます。
3. splunk.pkg をダブルクリックします。
Splunk インストーラが起動し、[Introduction] (紹介) にバージョンおよび著作権情報が表⽰されます。
4. [続⾏] をクリックします。
[Select a Destination] (宛先の選択) ウィンドウが表⽰されます。
5. Splunk のインストール先を選択します。
デフォルトのディレクトリ /Applications/splunk にインストールするには、ハードドライブアイコンをクリッ
クします。
別の場所を選択する場合は、[Choose Folder] (フォルダを選択...) を選択します。
6. [続⾏] をクリックします。
インストール前のサマリーが表⽰されます。I
7.(オプション) 変更するには、以下のいずれかの作業を⾏います。
新しいフォルダを選択するには、[Change Install Location] (インストール先の変更) をクリックしま
す。
[Back] (戻る) をクリックして、前のステップに戻ります。
8. [インストール] をクリックします。
インストールが開始されます。
8. インストールが完了したら、[Finish] をクリックします。
デスクトップにショートカットが配置されます。
次のステップ
「Splunk Enterprise の開始と Splunk Web の起動」に進んで Splunk を開始してください。
Splunk Enterprise の開始と Splunk Web の起動
Splunk Enterprise をダウンロードしてインストールしました。このトピックでは、Splunk Enterprise の開始⽅
法および Splunk Web の起動⽅法について説明していきます。
Splunk Enterprise の開始について
5
Splunk Enterprise を開始すると、splunkd と
splunkweb
の 2 つのプロセスが開始されます。
は、ストリーミングマシンデータへのアクセス、処理、インデックス作成を⾏い、サーチリクエスト
を処理する分散 C/C++ サーバーです。
splunkweb は、マシンデータのサーチや Splunk デプロイの管理に使⽤する Splunk Web インターフェイス
を提供する、Python ベースのアプリケーションサーバーです。
splunkd
Splunk Enterprise を開始したら、ライセンス契約に同意し、サポートしているブラウザを使って Splunk Web
にアクセスします。
Windows での Splunk Enterprise の開始
Windows へのインストールが完了すると、Splunk Enterprise が起動し、サポートされているブラウザに
Splunk Web が表⽰されます。Splunk Enterprise が開始されない場合は、以下の⽅法をお試しください。
[スタート] メニューから Splunk Enterprise を開始する。
Windows のサービスマネージャを使って、splunkd および splunkweb を開始/停⽌する。
cmd ウィンドウで、\Program Files\Splunk\bin に移動し、次のコマンドを⼊⼒します。
> splunk start
Linux での Splunk Enterprise の開始
Splunk Enterprise のインストール後、Splunk CLI を使って Splunk を開始します。CLI に簡単にアクセスでき
るように、SPLUNK_HOME 環境変数にトップレベルのインストールディレクトリを、そして $SPLUNK_HOME/bin にシェル
のパスを追加することができます。
Linux でデフォルトディレクトリにインストールした場合、パスは以下のようになります。
# export SPLUNK_HOME=/opt/splunk
# export PATH=$SPLUNK_HOME/bin:$PATH
CLI の使⽤⽅法の詳細は、『管理マニュアル』の「CLI について」を参照してください。
Splunk を開始するには：
1. 次のコマンドを⼊⼒します：
$SPLUNK_HOME/bin/splunk start
Splunk Enterprise ライセンスの承諾
コマンドを実⾏したら、ライセンス条項が表⽰されます。表⽰される条項を承諾しないと、起動処理を続⾏
することはできません。
start
Splunk Enterprise の起動について何か問題がある場合は、『インストールマニュアル』の「Splunk Enterprise
の開始」を参照してください。
その他のコマンド
Splunk Enterprise サーバーの停⽌、再起動、またはステータス確認を⾏う場合は、以下の CLI コマンドを使⽤
します。
$ splunk stop
$ splunk restart
$ splunk status
Mac OS X での Splunk Enterprise の開始
Mac OS X では、Finder から Splunk Enterprise を開始できます。
1. デスクトップの Splunk アイコンをダブルクリックすると、「Splunk's Little Helper」という名前の Splunk
ヘルパーアプリケーションが起動します。
初めてヘルパーアプリケーションを実⾏した場合、簡単な初期化を実⾏する必要があることを知らせるメッセージ
が表⽰されます。
2. Splunk による初期化とトライアルライセンスの設定を許可する場合は、[OK] をクリックします。
ヘルパーアプリケーションが読み込まれたら、複数のオプションがダイアログボックスに表⽰されます。
Start and Show Splunk ：このオプションは、Splunk Enterprise を開始して、Web ブラウザに Splunk
Web を表⽰します。
Only Start Splunk ：これを選択すると、Splunk Enterprise は起動しますが、ブラウザに Splunk Web
6
は表⽰されません。
キャンセル：ヘルパーアプリケーションを終了します。この操作は Splunk Enterprise インスタンス⾃体
には影響を与えません。ヘルパーアプリケーションのみが終了します。
適切なオプションを選択すると、ヘルパーアプリケーションは所定の操作を⾏った後に終了します。ヘルパーアプ
リケーションをもう⼀度実⾏して、Splunk Web を表⽰したり、Splunk Enterprise を終了したりすることができ
ます。
動作している Splunk Enterprise を停⽌するには、ヘルパーアプリケーションを使⽤します。
Splunk Web の起動
起動処理の最後には、Splunk Web へのアクセス⽅法を知らせるメッセージが表⽰されます。
The Splunk Web interface is at http://localhost:8000
デフォルトでは、Splunk Web はインストールされているホスト上のポート 8000 で動作します。ローカルコン
ピュータ上で Splunk を実⾏している場合、Splunk Web にアクセスするための URL は http://localhost:8000
になります。
Enterprise ライセンスを使⽤する場合、初めて Splunk Enterprise を起動する時にログイン画⾯が表⽰されま
す。表⽰されるメッセージに従って、デフォルトの資格情報で認証を⾏ってください。
無料版のライセンスをご利⽤の場合は、認証せずに Splunk Enterprise を使⽤できます。この場合、Splunk
Enterprise を起動してもログイン画⾯は表⽰されません。代わりに Splunk ホームまたは設定されているデフォ
ルト App が表⽰されます。
デフォルトのパスワードでサインインすると、新しいパスワードの作成を依頼するメッセージが表⽰されます。こ
の⼿順はスキップすることも、パスワードを変更してから続⾏することも可能です。
最初に表⽰されるページは、[Splunk ホーム] です。
次のステップ
これでサーチチュートリアルのパート 1 は完了です。「パート 2：Splunk について」に進んでください。
パート 2：Splunk Enterprise について
Splunk Web 内の移動⽅法
このトピックは、Splunk Web の各種ビューへの移動⽅法について説明しています。
Splunk ホームについて
Splunk ホームは、Splunk インスタンスからアクセスできるデータと App 向けの対話型ポータルです。ホームの
主な構成要素として、Splunk Enterprise ナビゲーション・バー、[App] メニュー、Splunk Enterprise の探索パ
ネル、およびデフォルトのカスタム・ダッシュボード (ここには表⽰されていません) などがあります。
7
App
[App] パネルには、Splunk インスタンス上にインストールされている、表⽰する権限がある App が表⽰されま
す。リストから App を選択すると、それを開けます。
Splunk Enterprise を標準インストールした場合、当初 1 つの App [サーチとレポート] がワークスペースに表⽰
されています。複数の App が表⽰されている場合、ワークスペース内の App をドラッグアンドドロップして配
置を変更することができます。
このパネルでは、2 種類の操作を⾏えます。
Splunk インスタンスにインストールされている App を表⽰、管理するには、ギア・アイコンをクリックし
ます。
インストールする他の App を参照するには、プラス・アイコンをクリックします。
Splunk Enterprise の探索
[Splunk Enterprise 探索] パネルには、Splunk Enterprise の使⽤を開始するために役⽴つオプションが⽤意され
ています。各種アイコンをクリックして、[データの追加] ビューを開く、新しい App を参照する、Splunk
Enterprise ドキュメントを開く、Splunk Answers を開く、などの作業を⾏えます。
Splunk バーについて
Splunk インスタンス内を移動するには、Splunk バーを使⽤します。これは、Splunk Enterprise 内の各ページ
に表⽰されます。これを使って App 間の切り替え、Splunk 設定の管理と編集、システムレベルメッセージの参
照、およびサーチジョブの進捗状況の監視を⾏えます。
Splunk ホームにある Splunk バーの例を以下の画像に⽰します。
[サーチとレポート] App の [サーチ] ビューなどの、他のビューにある Splunk バーでも、Splunk ロゴの隣りに
[App] メニューが配置されています。
Splunk ホームに戻る
Splunk Web 内の任意のビューから、ナビゲーションバーの Splunk ロゴをクリックして、Splunk ホームに戻
ることができます。
[設定] メニュー
[設定] メニューには、ナレッジオブジェクト、分散環境設定、システムおよびライセンス、データ、および認証設
定に関連する、設定ページが記載されています。これらのオプションのいずれかが表⽰されない場合は、それを表
⽰または編集する権限がありません。
8
ユーザー・メニュー
ここのユーザー・メニューは、新たにインストールされた Splunk のデフォルトユーザー名である
「Administrator」になっています。この表⽰名を変更するには、[アカウントの編集] を選択して、[フル・ネー
ム] を変更します。タイムゾーン設定の編集、このアカウントのデフォルト App の選択、アカウントのパスワー
ドの変更を⾏うことも可能です。[ユーザー] メニューでは、この Splunk からログアウトすることもできます。
[メッセージ] メニュー
ここには、すべてのシステムレベルのエラーメッセージが表⽰されます。新しい未読メッセージがある場
合、[メッセージ] メニューの隣りにそのことを知らせる数字が表⽰されます。[X] をクリックすると、メッセージ
が削除されます。
[アクティビティ] メニュー
[アクティビティ] メニューには、ジョブ、⽣成されたアラート、およびシステムアクティビティのビューへの
ショートカットが記載されています。
[ジョブ] をクリックすると、サーチジョブ管理ウィンドウが表⽰されます。ここでは、現在実⾏中のサーチ
を表⽰、管理することができます。
[⽣成されたアラート] をクリックすると、⽣成されたスケジュール済みアラートが表⽰されます。この
チュートリアルでは、アラートの保存やスケジュールについては説明していません。詳細は、『アラートマ
ニュアル』の「アラートについて」を参照してください。
[システムアクティビティ] をクリックすると、ユーザーアクティビティとシステムステータスに関する
ダッシュボードが表⽰されます。
ヘルプ
ビデオチュートリアル、Splunk Answers、Splunk サポートポータル、およびオンラインマニュアルへのリンク
を表⽰するには、[ヘルプ] をクリックします。
9
サーチ
Splunk Enterprise インスタンス内のオブジェクトをサーチするには、[サーチ] を使⽤します。たとえば、
「error」と⼊⼒すると、⽤語「error」を含む保存済みオブジェクトが返されます。このような保存済みオブジェ
クトには、レポート、ダッシュボード、アラートなどが含まれます。[サーチで error を開く] をクリックし
て、[サーチとレポート] App 内で「error 」をサーチすることもできます。
次のステップ
Splunk Web の理解を深めたら、Splunk Enterprise にデータを追加してみましょう。
パート 3：Splunk Enterprise へのデータの取り込
み
Splunk Enterprise へのデータの取り込みについて
Splunk Enterprise を使⽤する前に、データを取り込む必要があります。データソースを定義すると、データスト
リームのインデックス作成が開始され、表⽰、サーチが可能な⼀連のイベントに変換されます。望み通りの結果が
得られなかった場合は、⽬的の結果が得られるまでインデックス作成処理を調整することができます。
このトピックでは、Splunk に追加できるデータの種類、データの Splunk への取り込み⽅法、および取り込んだ
データの保管場所について簡単に説明していきます。
データの種類
Splunk Enterprise は、任意のデータに対応しています。特に、あらゆる IT ストリーミングデータと履歴データ
を得意にしています。イベントログ、Web ログ、ライブアプリケーションログ、ネットワークフィード、システ
ムメトリックス、変更のモニター、メッセージキュー、アーカイブファイル、その他各種データなどが挙げられま
す。
データは Splunk インデクサーと同じマシン上でも (ローカルデータ)、他のマシン上でも (リモートデータ) 構い
ません。ローカルデータとリモートデータの詳細は、『データの取り込み』の「データはどこにある？」を参照し
てください。
⼀般的に、⼊⼒ソースは以下のように分類できます。
ファイルとディレクトリ：有益なデータの⼤半がファイルやディレクトリに存在している可能性がありま
す。
ネットワークイベント： Splunk は、任意のネットワークポートやリモートデバイスの SNMP イベントか
らのリモートデータのインデックスを作成できます。
Windows ソース： Windows 版の Splunk には、Windows イベントログ、Windows レジストリ、WMI、
Active Directory 、およびパフォーマンスモニターなど、Windows 固有のさまざまなデータを取り込めま
す。
その他のソース： Splunk は、FIFO キュー、および API や他のリモートデータインターフェイスからデー
タを取り込むスクリプト⼊⼒などの、その他の⼊⼒ソースもサポートしています。
データと Splunk Enterprise の詳細は、『データの取り込み』マニュアルの「Splunk がインデックス処理できる
項⽬」を参照してください。
データ⼊⼒の指定⽅法
10
新しい種類のデータを Splunk に取り込むには、⼊⼒ソースを定義します。そのために、さまざまな⽅法が⽤意さ
れています。
Splunk Web：⼤部分のデータ⼊⼒は、Splunk Web のデータ⼊⼒ページから設定できます。これらの
ビューから、GUI を使って取り込むデータを設定できます。この⽅法を使って、Splunk にチュートリアル
データを取り込みます。
App： Splunk には、各種データソースを取り込むための事前設定を提供する、さまざまな App やアドオ
ンが⽤意されています。詳細は、「App の使⽤」を参照してください。
Splunk の CLI： CLI (コマンドラインインターフェイス) を使って、さまざまな種類のデータ取り込みを
設定できます。詳細は、「CLI の使⽤」を参照してください。
inputs.conf 設定ファイル： Splunk Web または CLI を使ってデータを取り込む場合、設定内容は
inputs.conf ファイルに保存されます。⾼度なデータ取り込みを⾏う場合は、このファイルを直接編集しな
ければならないこともあります。『データの取り込み』マニュアルの「inputs.conf の編集」を参照してく
ださい。
⼊⼒の設定⽅法の詳細は、『データの取り込み』マニュアルの「データ取り込みの設定」を参照してください。
Splunk のデータ保管場所
Splunk データリポジトリは「インデックス」と呼ばれています。インデックス作成処理 (またはイベント処理 )
中に、Splunk は⾼速なサーチ/分析を可能にするために、到着したデータストリームを処理して、その結果をイ
ンデックス内にイベントとして保管します。
イベントはインデックス内に⼀連のファイルグループとして保管され、2 つのカテゴリに分類できます。
raw データ、これは圧縮形式の未加⼯データです。
インデックスファイルと raw データを指すいくつかのメタデータファイル。
これらのファイルは「バケツ」と呼ばれている⼀連のディレクトリに保管され、経過時間で管理されています。
詳細は、『インデクサーとクラスタの管理』の「Splunk によるインデックスの保管⽅法」を参照してください。
デフォルトで Splunk はすべてのユーザーデータを、単⼀の事前設定されたインデックスに保管します。また、内
部処理⽬的で他のさまざまなインデックスも使⽤します。新しいインデックスを追加したり、既存のインデックス
をデータ要件に合わせて管理したりすることができます。『インデクサーとクラスタの管理』の「インデックスの
管理について」を参照してください。
次のステップ
Splunk のデータの取り込みとインデックスについて理解したら、「Splunk へのチュートリアルデータの取り込
み」を参照してください。
Splunk へのチュートリアルデータの取り込み
このトピックでは、チュートリアル⽤データセットのダウンロードおよびそのデータの Splunk Enterprise への
追加⽅法について説明していきます。このチュートリアルは数時間ほどで完了できますが、時間をかけて学習する
こともできます。その場合は新たなサンプルデータをダウンロードして Splunk に追加してください。
サンプルデータファイルのダウンロード
ここでは、チュートリアル⽤データファイルをダウンロードしても、解凍はしないでください。
http://docs.splunk.com/images/Tutorial/tutorialdata.zip
このチュートリアル⽤データファイルは毎⽇更新され、過去 7 ⽇間のタイムスタンプがあるイベントを表してい
ます。
Splunk Enterprise へのサンプルデータの取り込み
1. Splunk にログインします。
現在 Splunk ホームにいない場合は、Splunk バーにある Splunk ロゴをクリックして Splunk ホームに戻りま
す。
2. [Splunk Enterprise 探索] で、[データの追加] をクリックします。
11
[データの追加] ビューが表⽰されます。[データの追加] には、データを追加するための 3 つのオプションがあ
り、⼀般的なデータ・タイプが記載されています。また、Splunk Enterprise のデータ追加 (取り込み) 機能を拡
張するアドオンも⽤意されています。
3. [データの追加⽅法は？] で、[アップロード] をクリックします。
4. [ソースの選択] で、[ファイルの選択] をクリックしてチュートリアル・データを参照するか、ボックスにデー
タ・ファイルをドロップします。
チュートリアル・データ・ファイルはアーカイブされたデータ・ファイルなので、データの追加ワークフローの次
のステップが [ソースタイプの設定] から [⼊⼒設定] に変化します。
5. [次へ] をクリックして、[⼊⼒設定] の作業を続⾏します。
[⼊⼒設定] では、ホスト、ソースタイプ、およびインデックスのデフォルト設定に優先する設定を定義すること
ができます。
6. パス名の⼀部を使ったホスト名を割り当てるには、ホスト設定を変更します。
6.1. メニューから、[パスのセグメント] を選択します。
6.2. セグメント番号に 1 を⼊⼒します。
12
7. ⼊⼒設定をレビューするには、[確認] をクリックします。
8. [実⾏ ] をクリックします。
9. データが正常に追加されたことを確認するには、[サーチ開始] をクリックします。
[サーチ] ビューが表⽰され、チュートリアル・データ・ソースのサーチが実⾏されます。
次のステップ
[サーチ] App の概要とチュートリアル・データのサーチ開始の詳細について学習します。
パート 4：Splunk サーチの使⽤
サーチダッシュボードについて
13
前の章では、Splunk Enterprise が処理できるデータの種類、チュートリアル⽤サンプルデータのダウンロード、
および Splunk インデックスへのデータの取り込みについて学習しました。このセクションでは、Splunk サーチ
を構成する各要素の使⽤⽅法について説明していきます。
Splunk サーチへの移動
1. Splunk ホームで、[App] の [サーチとレポート] をクリックします。
[サーチとレポート] App の [サーチ] ビューが表⽰されます。
サーチを実⾏する前の [サーチ] ビューは、以下のようになっています。
Splunk バーの下にある App バーを使って、[サーチとレポート] App の各種ビューに移動することができます。
サーチを実⾏する前に
サーチ機能は、サーチバー、タイムレンジピッカー、[サーチ⽅法] パネル、[検索内容] パネルなどから構成され
ています。
サーチバー
Splunk Web 内でサーチを実⾏するには、サーチバーを使⽤します。サーチ⽂字列を⼊⼒して、Enter キーを押す
か、タイムレンジピッカーの右にある望遠鏡型アイコンをクリックしてください。
タイムレンジピッカー
特定の期間のイベントを取得するには、タイムレンジピッカーを使⽤します。リアルタイムサーチの場合、イベン
トを取得するウィンドウを指定することができます。履歴サーチの場合、相対時間範囲 (15 分前、昨⽇など) また
は特定の⽇付/時間範囲を指定して、サーチを限定することができます。タイムレンジピッカーには、あらかじめ
設定された時間範囲から選択できますが、独⾃の時間範囲を⼊⼒することも可能です。
タイムレンジピッカーの詳細は、「タイムレンジピッカーについて」を参照してください。
サーチ⽅法
[サーチ⽅法] パネルのリンクから、サーチ⽅法を学習するためのサーチチュートリアルとサーチマニュアルを参照
することができます。
検索内容
[検索内容] パネルには、この Splunk インスタンスにインストールされており、参照する権限があるデータのサマ
リー情報が表⽰されます。[データサマリー] をクリックすると、[データサマリー] ダイアログボックスが表⽰さ
れます。
データサマリー
14
[データサマリー] ダイアログには、[ホスト]、[ソース]、[ソースタイプ] の 3 つのタブがあります。
イベントのホストは、イベントの発⽣元となるマシン名、IP アドレス、またはネットワークホストの完全修飾ド
メイン名になります。
イベントのソースは、イベントの発⽣元の、ファイルまたはディレクトリパス、ネットワークポート、またはス
クリプトになります。
イベントのソースタイプは、そのデータの種類を表しています。⼀般的には、そのデータのフォーマットに基づ
いています。このような分類により、複数のソースやホストにまたがって同じ種類のデータをサーチすることがで
きます。
15
チュートリアル・データのソースタイプ：
access_combined_wcookie: Apache Web サーバーログ
secure: セキュリティサーバーログ
vendor_sales: グローバルセールスベンダー
Splunk Enterprise のデータのソースタイプ分類については、『データの取り込み』マニュアルの「ソースタイプ
が影響する理由」を参照してください。
サーチの実⾏後
サーチバーに以下の⽂字列を⼊⼒します。
buttercupgames
[新規サーチ] ページが表⽰されます。
このビューでもサーチバーとタイムレンジピッカーを使⽤できますが、その他にもサーチアクションボタン、サー
チモードセレクタ、イベント数、ジョブのステータスバー、およびイベント、統計情報、および視覚エフェクトの
タブなどさまざまな要素が記載されています。
この章の次のトピックでは、サーチビュー内のこれらの構成要素について学習していきます。
次のステップ
次に進んで、サーチを特定の期間に限定する⽅法について学習してください。
タイムレンジピッカーについて
サーチ・バーの右側にあるタイムレンジ・ピッカーを使って、サーチの時間境界を設定することができます。
あらかじめ設定されている時間範囲、独⾃の相対時間範囲、および独⾃のリアルタイム時間範囲にサーチを限定す
ることができます。また、[⽇付範囲] または [⽇付と時間の範囲] を指定することもできます。
このチュートリアルでは、[プリセット] および [相対] オプションを使⽤します。
事前設定されている時間範囲
タイムレンジピッカーの [プリセット] は、Splunk Enterprise に最初から⽤意されている事前定義された⼀連の
時間範囲です。
16
デフォルトで、サーチの時間範囲は [全時間] に設定されています。⼤量のデータに対してサーチする場合、期間
を短くするとより素早く結果を得ることができます。サーチのデフォルトの時間範囲を変更する⽅法については、
『サーチマニュアル』の「デフォルト時間範囲の変更」を参照してください。
トラブルシューティングを⾏っており、問題発⽣時のおおまかな時間範囲が分かっている場合は、その期間にサー
チ範囲を限定します。たとえば、昨⽇に発⽣した問題を調査する場合は、[昨⽇] または [過去 24 時間] を選択し
ます。10 分前に発⽣した問題を調査する場合は、[過去 15 分] または [過去 60 分] を選択します。次に、必要
に応じて調査する時間範囲を調整していきます。
カスタム時間範囲
プリセット値が⽬的に適さない場合は、独⾃の相対時間範囲または⽇付と時間による範囲を定義することができま
す。
過去 2 時間に対してサーチを実⾏するには、[相対] オプションを使⽤します。
たとえば、もっとも早い時間に「2 時間前」を、もっとも遅い時間に「現在」または「現在の時間の始め」を設定
します。
タイムスタンプは、指定したもっとも早いおよびもっとも遅いタイムスタンプを表⽰するように調整されます。
[⽇付と時間範囲] オプションを利⽤して、カレンダーとタイムスタンプを使ってもっとも早い時間ともっとも遅
い時間を指定することができます。
17
たとえば、9 ⽉ 30 ⽇午後 8 時 42 分に発⽣した問題のトラブルシューティングを⾏うには、もっとも早い時間と
して 2014 年 9 ⽉ 30 ⽇の 08:40:00.000 を、もっとも遅い時間として 2014 年 9 ⽉ 30 ⽇の 08:45:00.000 を
指定することができます。
次のステップ
次は、サーチアクションとサーチモードについて学習します。
サーチアクションとモードについて
このトピックでは、サーチを制御するためのサーチアクションとサーチモードについて説明しています。
サーチジョブ進捗状況の制御
サーチの開始後は、サーチバーの下にあるボタンを使って、サーチを⼀時停⽌または終了することができます。ま
た、[サーチ] ページから移動しないでも、サーチジョブに関する情報を参照、管理することができます。
[ジョブ] をクリックして、そこから適切なオプションを選択してください。
ジョブ設定の編集：このオプションを選択すると、[ジョブ設定] ダイアログが表⽰されます。ここでは、
ジョブの読み取り権限の変更、ジョブ寿命の延⻑、および他のユーザーとジョブを共有またはブラウザーの
ブックマークに登録するたに使⽤できるジョブ URL の取得などの作業を⾏えます。
ジョブをバックグラウンドに送る：サーチジョブが時間がかかるため、バックグラウンドでジョブを実⾏
し、その間に Splunk Enterprise で他の作業 (新規サーチジョブの実⾏を含む) を⾏いたいような場合に選
択します。
ジョブの調査：別のウィンドウに、[サーチジョブ調査] を使ったサーチジョブの情報と測定基準を表⽰し
ます。
ジョブの削除：実⾏中、⼀時停⽌中、または完了したジョブを削除する場合に使⽤します。ジョブを削除し
ても、サーチをレポートとして保存することができます。
詳細は、『ナレッジ管理』マニュアルの「Splunk Web でのジョブの保存と共有」を参照してください。
サーチモードの変更
サーチモードを使って、サーチを制御することができます。返されるイベントデータを減らすことでサーチを⾼速
化するように設定したり (⾼速モード)、できる限り多くの情報を返すように設定したり (詳細モード) できます。
スマートモード (デフォルト設定) では、実⾏するサーチの種類に応じてサーチモードを切り替えます。
18
詳細は、『サーチマニュアル』の「サーチに合わせたサーチモードの設定」を参照してください。
結果の保存
[名前を付けて保存] メニューには、サーチ結果をレポート、ダッシュボードパネル、アラート、およびイベン
トタイプとして保存するためのオプションが記載されています。
その他のサーチアクション
ジョブの進捗状況コントロールとサーチモードセレクタの中間には、ボタンがあります。これを使ってサーチ結果
を共有、エクスポート、印刷することができます。
[共有] オプションは、サーチジョブを共有します。このオプションでは、ジョブの寿命が 7 ⽇間に延⻑さ
れ、また読み取り権限が [全員] に設定されます。
[エクスポート] オプションは、結果をエクスポートします。CSV、raw イベント、XML、JSON 形式で出
⼒し、またエクスポートする結果数を指定する場合、このオプションを選択します。
設定されているプリンタに結果を送るには、[印刷] オプションを使⽤します。
[閉じる] ボタンを使って、サーチをキャンセルして Splunk ホームに戻ることができます。
次のステップ
次のトピックでは、サーチ結果の形式について説明していきます。
[サーチ結果] タブについて
このトピックでは、[イベント]、[統計情報]、および [視覚エフェクト] の 3 種類のサーチ結果タブについて説明し
ていきます。
サーチを実⾏すると、サーチで使⽤されたサーチコマンドの種類に応じて結果がタブに表⽰されます。サーチで単
にイベントを取得する場合は、結果は [イベント] タブと [パターン] タブに表⽰されます。他のタブには表⽰され
ません。サーチに変換コマンドが含まれている場合、結果を [統計情報] タブおよび [視覚エフェクト] タブで参照
することができます。
イベント
この画⾯で使⽤されているキーワード・サーチは、イベントを取得して、結果を [イベント] タブに表⽰します。
19
[イベント] タブには、イベントのタイムライン、フィールド・サイドバー、およびイベント・ビューアが表⽰され
ます。イベントビューを変更するには、[リスト] および [フォーマット] オプションを使⽤します。デフォルト
で、イベントは最新のイベントから開始するリストとして表⽰されます。各イベントでは、⼀致したサーチ⽤語が
強調表⽰されています。
イベントのタイムライン：各時点で発⽣したイベント数を視覚的に表したものです。サーチ結果でタイムライン
が更新されたら、そこのバーにパターン (クラスタ) があることにお気づきかも知れません。各バーの⾼さは、イ
ベント数を表しています。タイムライン内のピークや⾕間は、その時点でのアクティビティ数の急増やサーバー停
⽌などの状態を表している場合もあります。このように、タイムラインはイベントのパターンを強調したり、イベ
ントアクティビティの最多/最少発⽣時点を把握したりする場合などに役⽴ちます。タイムラインオプションは、
タイムラインの上にあります。ズームイン/アウトしたり、グラフのスケールを変更したりすることも可能です。
フィールドサイドバー：データのインデックスを作成する場合、デフォルトで Splunk はデータ内の情報を抽出
します。このような情報はフィールドと呼ばれており、名前と値のペアで構成されています。サーチを実⾏する
と、サーチ結果の隣にあるフィールドサイドバーに、Splunk が発⾒したすべてのフィールドが表⽰されます。イ
ベント内の他のフィールドを選択して表⽰することもできます。また、このサイドバーを⾮表⽰にして、結果領域
を拡張することも可能です。
選択されたフィールドは、サーチ結果に表⽰するように設定されています。デフォルトでは、ホスト、
ソース、およびソースタイプが表⽰されます。
関連するフィールドは、サーチ結果から抽出されたその他のフィールドです。
パターン
[パターン] タブにより、イベント・パターンの検出を簡単に⾏えます。ここには、サーチで返された⼀連のイベ
ントの中でもっとも⼀般的なパターンのリストが表⽰されます。これらの各パターンは、類似の構造を共有する数
多くのイベントを表しています。
パターンをクリックして、以下の作業を⾏えます。
パターンに合致する、結果内のイベント数概算を表⽰する。
このパターンのイベントを返したサーチを参照する。
パターン・サーチをイベント・タイプとして保存する (適している場合)。
パターンに基づいてアラートを作成する。
詳細は、『サーチ・マニュアル』の「[パターン] タブを使ったイベント・パターンの識別」を参照してください。
統計情報
[統計情報] タブは、stats、top、chart などの変換コマンドを使ったサーチを実⾏した場合に表⽰されます。先ほ
どの「buttercupgames」のキーワード・サーチには、変換コマンドがないため、このタブに結果が表⽰されませ
ん。
代わりに、このタブにはピボットやクイック・レポートでレポートを作成するオプション、および変換サーチ・コ
マンドに関するドキュメントへのリンクが表⽰されます。
20
⾮変換サーチを実⾏して、それに基づいて表やグラフを作成したい場合は、[ピボット] をクリックして、ピボッ
ト・エディタでサーチを開きます。ピボットの詳細については、『ピボット・マニュアル』の「データ・モデルと
ピボット・チュートリアル」を参照してください。
Buttercup Games オンラインストアで⼈気のある商品カテゴリを探すなどの、変換コマンドを使⽤したサーチを
実⾏すると、[統計情報] タブには結果のテーブルが表⽰されます。
視覚エフェクト
変換サーチにより、[視覚エフェクト] タブも表⽰されます。[視覚エフェクト] タブの結果領域には、グラフおよ
びグラフの⽣成に使われた統計情報テーブルが含まれています。
21
視覚エフェクトグラフ領域の上にあるメニューを使って、視覚エフェクトのタイプとフォーマットを変更すること
ができます。視覚エフェクト・タイプ・メニューには、選択したタイプの名前が表⽰されます。デフォルトの視覚
エフェクトタイプは、縦棒グラフです。
グラフ・タイプの隣りに [推奨] が表⽰された場合、それは Splunk Enterprise が結果を⽣成した変換サーチに基
づいて推奨するタイプであることを表しています。
次のステップ
このセクションでは、サーチを開始する前に理解する必要がある、[サーチとレポート] App について説明しまし
た。
パート 5：チュートリアルデータのサーチ
サーチ開始
このセクションでは、チュートリアル⽤データのサーチを実際に開始します。このトピックでは、インデックスか
らイベントを取得するサーチについて説明していきます。
このセクションを開始するには、まずチュートリアル・データをダウンロードして追加する必要があります。
検索内容
1. App ナビゲーションバーから [サーチ] をクリックしてください。
2. [サーチ] ページで、[検索内容] パネルを参照します。
3. [データサマリー] をクリックします。
架空のオンラインゲームストア Buttercup Games を表している、チュートリアル⽤データを再確認してくださ
い。データ・サマリーは、データのソースとタイプを表しています。ここには、5 台のホスト、8 つのソース、お
よび 3 種類のソースタイプが含まれています。3 種類のソースタイプは、Apache Web アクセスログ
(access_combined_wcookie)、Linux 保護されたフォーマットログ (secure)、およびベンダーの販売ログ
(vendor_sales) です。
このチュートリアルの⼤半では、Apache Web アクセスログと、それに関連するベンダー販売ログを使⽤してい
ます。
サーチアシスタント
⼿元には、各種ゲームを販売するオンラインストアのデータがあります。サイトでどれくらいのエラーが発⽣した
のかを確認してください。
22
1. Splunk サーチを開いて、サーチ・バーに「buttercupgames 」と⼊⼒します。
⼊⼒を開始すると、サーチ・アシスタントが表⽰されます。サーチ・アシスタントには、⼀致したサーチの履歴
とサーチのヘルプがあります。
サーチ・アシスタントは、イベント・データ内にある⼀致する⽤語に基づいて、サーチ項⽬を提案します。これら
の項⽬は、[⼀致する単語] または [⼀致するサーチ] に表⽰されます。イベント・データに存在しない単語やフ
レーズは表⽰されません。サーチアシスタントには、サーチ⽤語に⼀致する項⽬数も表⽰されます。この値は、
Splunk から返されるサーチ結果数の⽬安になります。ここでは、buttercupgames に対して 36,819 件のイベ
ントが表⽰されました。
ここで、サーチ・アシスタントには、サーチ⽅法を学習するために役⽴つ⼿順も表⽰されます。ステップ 1 は、
⽤語、引⽤符で囲まれたフレーズ、論理演算⼦、ワイルドカード、およびフィールド値を使った、イベントを取得
するサーチ例を説明しています。ステップ 2 は、サーチ・コマンドの使⽤⽅法を説明しています。
サーチ⾔語を学習すると、サーチアシスタントがより役に⽴つことでしょう。サーチ・コマンドを⼊⼒していく
と、サーチ・アシスタントにはコマンドの構⽂と使⽤⽅法が表⽰されます。
サーチアシスタントを⾃動表⽰しない場合は、[⾃動オープン] をクリックして、それをオフにします。サーチバー
の下にある下⽮印をクリックすると、再び表⽰することができます。
インデックスからのイベントの取得
1. キーワードを⼊⼒して、エラーや障害を探します。また、論理演算⼦ AND、OR、NOT を使⽤することができ
ます。
buttercupgames (error OR fail* OR severe)
論理演算⼦は⼤⽂字でなければなりません。AND は、単語間に暗黙的に指定されているため、直接指定する必要
はありません。括弧を使って単語をグループ化することができます。論理式の評価時には、括弧内の項⽬が優先さ
れます。AND または NOT 句は、OR 句の前に評価されます。
ワイルドカードのアスタリスクは、「fail」で始まる⽤語との照合に使⽤されています。このような⽤語には、
「failure」、「failed」などが含まれます。
このサーチでは、427 件の⼀致したイベントが取得されます。
23
サーチコマンド
キーワードやフレーズの⼊⼒時には毎回、Splunk インデックスからイベントを取得するために、暗黙的に search
コマンドが使⽤されています。search コマンドを利⽤して、キーワード、引⽤符で囲んだフレーズ、フィールド
値、論理演算式、⽐較式を使って、取得するイベントを指定することができます。
パイプラインの後半で、サーチ・コマンドを明⽰的に起動することもできます。『サーチマニュアル』の「サーチ
コマンドの使⽤」を参照してください。
次のステップ
「フィールドを使ったサーチ」に進んで、フィールドを使ったサーチについて学習してください。
フィールドを使⽤したサーチ
まだ Splunk Enterprise の⾼度なサーチ機能を有効活⽤しているとは⾔えません。そのためには、どのような
フィールド存在しており、それをどのように使⽤するかを理解する必要があります。
フィールドについて
サーチビューのデータサマリーには、Splunk のインデックスに追加したデータの種類を表す、[ホスト]、[ソー
ス]、[ソースタイプ] のタブが表⽰されています。
これらは、インデックス作成時に Splunk Enterprise がデータから抽出するデフォルトのフィールド
(host、source、sourcetype) でもあります。これらは、インデックスから取得するイベントを厳密に指定するために
役⽴ちます。
フィールドとは
フィールドは、マシンデータ内にさまざまな形式で存在しています。しばしば、フィールドは値 (⾏内の固定さ
れ、区切られた位置に存在) または名前と値のペア (各フィールド名に 1 つの値) と⾔う形で存在しています。複
数の値を持つフィールドも存在しています。この場合、そのフィールドは 1 つのイベント内に複数回登場し、そ
れぞれが異なる値を保有しています。
フィールドの例としては、Web サーバーにアクセスした IP アドレスを表す clientip、イベントのタイムスタンプ
を表す _time、およびサーバーのドメイン名を表す host などが挙げられます。複数値フィールドの⼀般的な例とし
ては、メールアドレスフィールドが挙げられます。[From] フィールドには単⼀のメールアドレスしかありません
が、[To] および [Cc] フィールドには複数のメールアドレスが指定されていることもあります。
Splunk Enterprise のフィールドは、サーチ可能な名前と値のペアで、あるイベントを他のイベントと区別してい
ます (すべてのイベントが同じフィールドとフィールド値を持つことはない)。フィールドを利⽤すれば、より⽬的
に適したサーチを作成し、本当に必要としているイベントを取得することができます。
詳細は、『ナレッジ管理マニュアル』の「フィールドについて」を参照してください。
抽出されたフィールド
Splunk はインデックス時とサーチ時に、イベントからフィールドを抽出します。詳細は、『インデクサーとクラ
スタの管理』マニュアルの「インデックス時とサーチ時」を参照してください。
データのインデックス作成時に処理された各イベントに対して、デフォルトおよび他のインデックス作成された
フィールドが抽出されます。デフォルトのフィールドには、host、source、および sourcetype が含まれます。デ
フォルト・フィールドの⼀覧については、『ナレッジ管理』マニュアルの「デフォルト・フィールドの使⽤」を参
照してください。
24
サーチの実⾏時、Splunk Enterprise は各種フィールドセットを抽出します。詳細は、『ナレッジ管理マニュア
ル』の「Splunk Enterprise がフィールドを抽出する時期」を参照してください。
ローカル Splunk インスタンスで動的にカスタムフィールドを作成するために、フィールド抽出機能を使⽤する
こともできます。フィールド抽出機能により、イベント内の 1 つまたは複数のフィールドを認識する任意のパ
ターンを定義することができます。『ナレッジ管理』マニュアルの「フィールド抽出機能によるフィールド抽出の
作成」を参照してください。
フィールドの検索と選択
1. サーチダッシュボードに移動して、サーチバーに以下の⽂字列を⼊⼒します。
sourcetype="access_*"
フィールドのサーチには次の構⽂を使⽤します：fieldname="fieldvalue"。フィールド名では⼤⽂字と⼩⽂字が区別
されますが、フィールドの値では区別されません。フィールド値にワイルドカードを使⽤できます。フィールド値
にスペースが含まれている場合は、引⽤符が必要です。
このサーチは、Web アクセスログからのみイベントを取得して、それ以外は取得しないことを表しています。
このサーチはワイルドカード access_* を使って、任意の Apache Web アクセスの sourcetype を照合します。ソー
スタイプは、access_common、access_combined、または access_combined_wcookie などになります。
2. [イベント] タブで、イベントのリストをスクロールします。
Apache ログの access_combined フォーマットを理解している⽅ならば、以下のような各イベントの情報にお
気づきでしょう。
Web サイトにアクセスするユーザーの IP アドレス。
要求されたページと参照ページの URI と URL。
各ページリクエストの HTTP ステータスコード。
GET または POST ページリクエストメソッド。
25
これらは Buttercup Games オンライン・ストアのイベントで、Arcade、Simulation、productId、
categoryId、purchase、addtocart などの他の情報やキーワードが出てくる可能性があることにお気付きでしょ
うか。
イベントリストの左側には、フィールドサイドバーがあります。Splunk Enterprise がサーチに⼀致したイベント
を取得するにつれて、フィールドサイドバーの [選択されたフィールド] および [関連するフィールド] が更新さ
れます。これらは、Splunk Enterprise がデータから抽出したフィールドです。
[選択されたフィールド] は、サーチ結果に表⽰されるフィールドです。デフォルトのフィールド host、
source、および sourcetype が選択されています。これらのフィールドは、すべてのイベント内に登場します。
フィールドサイドバーは、それぞれ [フィールドを⾮表⽰] および [フィールドを表⽰] をクリックすることで、
⾮表⽰または表⽰することができます。
3. [すべてのフィールド] をクリックします。
[フィールドの選択] ダイアログが表⽰されます。ここでは、イベントリストに表⽰するフィールドを選択するこ
とができます。
26
各イベントの timestamp (date_* で始まるすべての項⽬)、句読点 (punct)、および場所 (index) に基づくフィールドを
含む、その他のデフォルトフィールドも表⽰されます。
その他のフィールド名は、Web アクセスログに適⽤されます。たとえば、clientip, method、status などが存在し
ています。これらはデフォルトのフィールドではありません。これらはサーチ時に抽出されます。
その他の抽出されたフィールドは、Buttercup Games オンラインストアに関連しています。たとえ
ば、action、categoryId、および productId などが存在しています。
4.
action、categoryId、および productId
を選択して、[フィールドの選択] ウィンドウを閉じます。
サイドバーの [選択されたフィールド] に 3 つのフィールドが表⽰されます。選択したフィールドが特定のイベ
ント内に存在している場合、サーチ結果にそれが表⽰されます。各イベントが同じフィールドを持っていない場合
もあります。
フィールドサイドバーには、各フィールドに対して存在する値数が表⽰されます。これらは、Splunk Enterprise
がサーチ結果から識別した値です。
5. [選択されたフィールド] から、action フィールドをクリックします。
action フィールドのフィールドサマリーが表⽰されます。
27
このサーチ結果セットでは、Splunk Enterprise は
の 49.9% に登場しています。
action
の 5 つの値を発⾒し、action フィールドはサーチ結果
6. このウィンドウを閉じて、選択した他の 2 つのフィールド
よび productId (商品のカタログ番号) を⾒ていきましょう。
categoryId
(ショップが販売している商品の種類) お
7. イベントリストをスクロールしながら⼀読します。
イベントの隣にある⽮印をクリックすると、そのイベント内のすべてのフィールドのリストが表⽰されます。
このパネルを使って、特定のイベント内のすべてのフィールドを参照することができます。また、個別のイベント
の個別のフィールドの選択を解除することもできます。
対象を絞ったサーチの実⾏
フィールドを使ったサーチの例を以下に⽰します。
例 1： Buttercup Games ストアで正常に完了した購⼊をサーチします。
sourcetype=access_* status=200 action=purchase
このサーチは HTTP ステータスフィールド
購⼊イベントのみをサーチしています。
status
を使って、成功したリクエストと
action
フィールドを指定し、
を使って、失敗した購⼊をサーチすることができます。この場合、HTTP ステータスコードが 200 で
はないすべてのイベントがサーチされます。
status!=200
sourcetype=access_* status!=200 action=purchase
例 2：⼀般エラーをサーチします。
(error OR fail* OR severe) OR (status=404 OR status=500 OR status=503)
これはソースタイプを指定しません。このサーチは、セキュリティログと Web アクセスログの両⽅からイベント
を取得します。
例 3：昨⽇に購⼊されたシミュレーションゲームの数をサーチします。
タイムレンジピッカーから時間範囲として [昨⽇] を選択し、以下のサーチを実⾏します。
sourcetype=access_* status=200 action=purchase categoryId=simulation
28
返されたイベント数が、購⼊されたシミュレーションゲーム数になります。
ショップで販売された各種類別の商品数を確認する場合は、各 categoryId に対してこのサーチを実⾏します。先
週の各曜⽇の購⼊数を確認するには、各時間範囲に対してサーチを実⾏します。
次のステップ
フィールドによりサーチ⾔語を有効活⽤して、グラフを作成することができます。「サーチ⾔語の使⽤」に進ん
で、サーチ⾔語の使⽤⽅法を学習してください。
サーチ⾔語について
この時点までに実⾏してきたサーチは、Splunk インデックスからイベントを取得しています。これでは、返され
たイベント数から分かる情報しか得られません。
たとえば、前のトピックではシミュレーションゲームの購⼊数を確認するために、以下のサーチを実⾏しました。
sourcetype=access_* status=200 action=purchase categoryId=simulation
先週の各曜⽇の購⼊数を確認するには、先週の各曜⽇のデータに対してこのサーチを実⾏する必要があります。他
よりも⼈気のある商品を確認する場合は、8 種類の categoryId の値に対してそれぞれサーチを実⾏し、その結果を
⽐較する必要があります。
サーチアシスタントによる学習
「サーチの開始」では、サーチアシスタントについて紹介しました。このセクションでは、サーチアシスタントを
使った Splunk のサーチ処理⾔語の学習とサーチの作成について、より詳細に説明していきます。
1. サーチダッシュボードに戻って、サーチを昨⽇に制限します。
sourcetype=access_* status=200 action=purchase
サーチバーに⼊⼒していくと、サーチアシスタントにサーチコマンドの構⽂と使⽤に関する情報が表⽰されます
(右側)。サーチアシスタントが表⽰されない場合は、サーチバーの左下にある下⽮印をクリックします。
サーチバーに⼊⼒していくと、サーチアシスタントにキーワードの先⾏⼊⼒が表⽰されることは、以前に学習しま
した。また、サーチ⽅法に関する簡単な説明も表⽰されます。
2. サーチバーにパイプ⽂字「|」を⼊⼒します。
パイプはコマンドを使⽤することを Splunk に知らせるための⽂字です。パイプの左側のサーチからのサーチ結果
が、使⽤するコマンドの⼊⼒として渡されます。あるコマンドの結果を別のコマンドの⼊⼒として渡すことで、⼀
連のサーチコマンド (パイプライン) を実⾏できます。
29
今回はオンラインストアでもっとも購⼊されている商品を探します。
3. [⼀般的な次のコマンド] で、[top] をクリックします。
サーチ⽂字列に
top
コマンドが追加されます。
サーチアシスタントの説明と使⽤例によると、top コマンドは「フィールドで⼀番多い値を表⽰します。」となっ
ています。
4. サーチバーに
categoryId
フィールドを⼊⼒して、サーチを完了します。
sourcetype=access_* status=200 action=purchase | top categoryId
5. サーチを実⾏します。
サーチバー下のイベント数は、sourcetype=access_* status=200 action=purchase のサーチに⼀致する、取得されたイ
ベント数を表しています。top コマンドの結果は [統計情報] タブに表⽰されます。
[統計情報] タブでのレポートの表⽰
サーチの結果はレポートです。top コマンドは変換コマンドで、 categoryId のもっとも⼀般な的な値の表形式レ
ポートを返します。変換サーチの結果は、[統計情報] タブで参照することができます。
30
成功した (status=200) 購⼊ (action=purchase) のサーチについて、Splunk Enterprise は 7 件の異なるカテゴリ ID
を発⾒しました。このレポートは、カテゴリ ID 値を⼤きな値から⼩さな値の順に表⽰されます。
top コマンドは、2 種類の新たなフィールドも返します。countは各フィールド値の発⽣回数、percent は合計カウ
ントと⽐較したその数の割合を表します。top コマンドの詳細は、『サーチリファレンス』マニュアルを参照して
ください。
[視覚エフェクト] タブでのレポートの表⽰とフォーマット
変換サーチの結果は、[視覚エフェクト] タブから参照することもできます。ここからは、グラフタイプの書式設
定を⾏えます。たとえば、topコマンドを使ったサーチを、円グラフとして表⽰できます。
1. [視覚エフェクト] タブをクリックします。
デフォルトでは、[視覚エフェクト] タブには縦棒グラフが表⽰されます。
2. [列] をクリックして、視覚エフェクトタイプの選択肢を表⽰します。
このデータセットに対して、[縦棒] 、[横棒] または [円] グラフがお勧めになっています。
3. [円グラフ] を選択します。
レポートは以下のようになります。
ドリルダウン機能をオンにして、サーチ結果のテーブルやチャートから、さらに詳細な情報を調査することがで
きます。
4. 円グラフの各スライス上にカーソルを移動すると、各 categoryId の数とパーセントが表⽰されます。
31
5. 「Strategy」のスライスをクリックします。
成功した購⼊を調査するために、Splunk Enterprise がオリジナルのサーチに
しいサーチを実⾏します。
categoryId=strategy
を追加して、新
ドリルダウン操作の詳細は、『データの視覚化マニュアル』を参照してください。
次のステップ
次のトピックに進んで、サブサーチによるイベントの相関について学習してください。
サブサーチの使⽤
このトピックでは、サブサーチを使ったイベントの相関について説明していきます。
サブサーチは、サーチパイプラインを引数に持つサーチです。サブサーチは⾓括弧で囲まれ、最初に評価されま
す。サブサーチの結果をプライマリ、または外部サーチの引数として使⽤できます。『サーチマニュアル』の「サ
ブサーチについて」を参照してください。
例 1：サブサーチを使⽤しない
Buttercup Games オンラインストアをもっとも頻繁に利⽤している購⼊者を探して、その顧客の購⼊内容を確認
してみましょう。
そのためには、オンラインショップにもっともアクセスしている顧客をサーチします。
1. top コマンドを使⽤します。
sourcetype=access_* status=200 action=purchase | top limit=1 clientip
コマンドを使って、clientip の結果を 1 つだけ返すようにします。複数の上位購⼊顧客を表⽰する場合は、こ
の制限値を変更してください。使⽤⽅法と構⽂については、『サーチリファレンスマニュアル』の top コマンド
の説明を参照してください。
top
32
このサーチは、clientip 値を 1 つ返します。これを使って、VIP 顧客を判断します。
2. stats コマンドでこの VIP 顧客の購⼊数を数えます。
sourcetype=access_* status=200 action=purchase clientip=87.194.216.51 | stats count, dc(productId) by clientip
このサーチは count() 関数を使⽤し、顧客の購⼊数合計のみを返します。dc() 関数は、顧客が購⼊した異なる商品
数をカウントするために使⽤しています。
この⽅法の⽋点は、このテーブルを作成するために毎回 2 つのサーチを実⾏しなければならないことです。任意
の時間範囲における上位購⼊者は、常に同じとは限りません。
例 2：サブサーチを使⽤する
1. サーチバーに以下の項⽬を⼊⼒またはコピーして貼り付けます。
sourcetype=access_* status=200 action=purchase [search sourcetype=access_* status=200 action=purchase | top limit=1
clientip | table clientip] | stats count, dc(productId), values(productId) by clientip
ここで、⾓括弧 [] で囲まれたセグメントがサブサーチです。このサーチで、search sourcetype=access_* status=200
action=purchase | top limit=1 clientip | table clientip は、最後のパイプ付きコマンド以外は、例 1 のステップ 1
と同じです： | table clientip
コマンドは
す。
top
count
および
percent
フィールドも返すため、table コマンドを使って
clientip
値のみを保持しま
同じ時間範囲で実⾏すると、これらの結果は前の結果と⼀致するはずです。ただし、時間範囲を変更すると、上位
購⼊客が異なり別の結果が表⽰されることもあります。
2. 列名を、情報がより分かりやすくなるような名前に変更します。
sourcetype=access_* status=200 action=purchase [search sourcetype=access_* status=200 action=purchase | top limit=1
33
clientip | table clientip] | stats count AS "Total Purchased", dc(productId) AS "Total Products", values(productId)
AS "Products ID" by clientip | rename clientip AS "VIP Customer"
異なる期間に対してサーチを実⾏したらどうなるでしょうか？売れ筋が上位の商品と購⼊顧客数を探すにはどうし
たらよいのでしょうか?
次のステップ
次のトピックでは、フィールドルックアップを使って、イベントに新たな情報を追加する⽅法について学習してい
きます。
フィールドルックアップの使⽤
このトピックでは、フィールドルックアップを使って新しいフィールドをイベントに追加する⽅法について説明し
ていきます。フィールドのルックアップにより、イベントデータ内のフィールドとマッチする外部 CSV ファイル
内のフィールドを参照することができます。このマッチを使⽤して、より有益な情報やサーチ可フィールドを各イ
ベントに追加することで、データの価値をさらに⾼められます。
以下のファイルをダウンロードして解凍します。
http://docs.splunk.com/images/d/db/Prices.csv.zip
重要：このチュートリアルの残りの作業を完了するためには、このトピックの⼿順に従う必要があります。
フィールドルックアップを設定しない場合、以降のトピックのサーチで正しい結果が得られません。
ルックアップの使⽤
1. Splunk バーで、右上にある [設定] をクリックします。
2. [ナレッジ] で、[ルックアップ] をクリックします。
ルックアップエディタが表⽰されます。ここから、新しいルックアップの作成や既存のルックアップの編集作業を
⾏えます。
34
[ルックアップテーブルファイル] 、[ルックアップ定義] 、および [⾃動ルックアップ] のテーブル内のリンクを
クリックして、既存のルックアップを表⽰、編集することができます。
ルックアップテーブルファイルのアップロード
1. ルックアップ管理で、ルックアップテーブルファイルの [アクション] から、[新規追加] をクリックします。
[新規追加] ルックアップテーブルファイルビューに移動します。ここでは、フィールドルックアップに使⽤する
CSV ファイルをアップロードすることができます。
2. ルックアップテーブルファイルをサーチ App に保存するには、宛先 App をサーチのままにします。
3. [ルックアップファイルをアップロード] で、アップロードする CSV ファイル (prices.csv) を選択します。
4. [宛先ファイル名] で、ファイル名として prices.csv を指定します。
この名前を使ってルックアップ定義内でファイルを参照します。
5. [保存 ] をクリックします。
ルックアップファイルがサーチ App にアップロードされ、ルックアップテーブルファイルリストに返されます。
注意： Splunk がファイルを認識またはアップロードしない場合、もう⼀度アップロードする前に、ファイルが解
凍されていることをご確認ください。
ルックアップテーブルファイルのグローバルな共有
ルックアップファイルが共有されていない場合、ルックアップの定義時にそれを選択することはできません。
35
1. [ルックアップテーブルファイル] リストに移動します。
2. prices.csv ルックアップテーブル [パス] の [共有] の下で、[権限] をクリックします。
prices.csv ルックアップテーブルの [権限] ダイアログボックスが表⽰されます。
3. [オブジェクトの表⽰先] から、[すべての App] を選択します。
4. [保存 ] をクリックします。
これで、ルックアップ・テーブルはグローバル権限で共有されます。
フィールドルックアップ定義の追加
1. ルックアップ管理に戻ります。
2. ルックアップ定義の [アクション] で、[新規追加] をクリックします。
これにより、[新規追加] ルックアップ定義ビューに移動します。ここでは、フィールドルックアップを定義でき
ます。
3. [宛先 App] は [サーチ] のままにします。
4. ルックアップの名前を prices_lookup にします。
5. [タイプ] で、[ファイルベース] を選択します。
ファイルベースのルックアップは、静的テーブル (⼀般的には CSV ファイル) からフィールドを追加します。
6. [ルックアップファイル] で、[prices.csv] (ルックアップテーブル名) を選択します。
7. [時間ベースのルックアップの設定] および [詳細オプション] は選択解除状態のままにします。
8. [保存 ] をクリックします。
これにより、prices_lookup がファイルベースのルックアップとして定義されます。
36
すべての App でのルックアップ定義の共有
1. [ルックアップ定義] リストに戻ります。
2. prices_lookup の [共有] で、[権限] をクリックします。
prices.lookup の [権限] ダイアログボックスが表⽰されます。
3. [オブジェクトの表⽰先] から、[すべての App] を選択します。
4. [保存 ] をクリックします。
これで、prices_lookup はグローバル権限で共有されます。
ルックアップの⾃動化
1. ルックアップ管理で、[⾃動ルックアップ] の [アクション] から、[新規追加] をクリックします。
これにより、[新規追加] ⾃動ルックアップビューに移動します。ここでは、ルックアップを設定できます。
2. [宛先 App] は [サーチ] のままにします。
3. ⾃動ルックアップの名前を price_lookup にします。
4. [ルックアップテーブル] で、[prices_lookup] を選択します。
37
5. [適⽤先] および [named] で、[sourcetype] を選択して、「access_combined_wcookie 」と⼊⼒しま
す。
6. [ルックアップ⼊⼒フィールド] 下で、両⽅のテキスト領域に
productId
と⼊⼒します。
Splunk Enterprise は、ルックアップテーブル内のフィールド (左側で指定) を、右側のフィールド (イベント内の
フィールド) と照合します。この場合、フィールド名は⼀致します。
7. [ルックアップ出⼒フィールド] で、⼊⼒フィールドの照合と、フィールド名変更に基づいてイベントデータに
追加するフィールドの名前を⼊⼒します。
7.1 最初のテキスト領域に
す。
product_name
と⼊⼒します。これには、各
productId
を説明する名前が含まれていま
7.2. 2 番⽬のテキスト領域の統合の後に、productName と⼊⼒します。これにより、フィールド名が
変更されます。
productName
に
7.3. 他のフィールドも追加する場合は、[他のフィールドの追加] をクリックします。
7.4. 各
productId
の料⾦を含むフィールド
price
を追加します。このフィールド名は変更しないでください。
8. [フィールド値を上書き] は選択を解除します。
9. [保存 ] をクリックします。
⾃動ルックアップのリストが返されます。ここには、設定したルックアップも表⽰されています。
サーチ結果での新しいフィールドの表⽰
1. [サーチ] に戻ります。
2. Web アクセスアクティビティのサーチを実⾏します。
sourcetype=access_*
3. フィールドサイドバーの [関連するフィールド] のリストをスクロールして、price フィールドを探します。
4. [price] をクリックして、その [フィールドサマリー] ダイアログボックスを表⽰します。
38
5. [選択済み] の隣りの [はい] をクリックします。
6. ダイアログボックスを閉じます。
フィールドサイドバーの [選択されたフィールド] に price フィールドが表⽰されます。
6. productName フィールドに対して、ステップ 3〜5 を繰り返します。
新しいルックアップフィールドを使ったサーチ
1. 先ほどのサブサーチ例をコピー/貼り付けして、VIP 顧客の購⼊内容を確認します。今回は
を productName に置換します。
productId
フィールド
sourcetype=access_* status=200 action=purchase [search sourcetype=access_* status=200 action=purchase | top limit=1
clientip | table clientip] | stats count AS "Total Purchased", dc(productId) AS "Total Products",
values(productName) AS "Product Names" by clientip | rename clientip AS "VIP Customer"
結果は前のサブサーチの例と同⼀ですが、追加された製品名により VIP 顧客の購⼊内容がより分かりやすく詳細
に表⽰されます。
39
次のセクションでは、このサーチをレポート「VIP Customer」として保存する⽅法を説明します。
次のステップ
さまざまなサーチを実⾏した後、それを保存して後ほど再利⽤したり、他の⼈々と共有したりすることができま
す。レポートの保存と共有については、「レポートの保存と共有について」を参照してください。
パート 6：レポートの保存と共有：
レポートの保存と共有について
前のセクションでは、Splunk Enterprise でのサーチの基本、およびサブサーチの使⽤とルックアップテーブルか
らのフィールドの追加⽅法について学習しました。このセクションでは、サーチの保存とさまざまなサーチ例につ
いて説明していきます。
レポートとしての保存
1. 時間範囲として [昨⽇] を選択して、サブサーチ (前のトピック) を実⾏します。
sourcetype=access_* status=200 action=purchase [search sourcetype=access_* status=200 action=purchase | top limit=1
clientip | table clientip] | stats count AS "Total Purchased", dc(productId) AS "Total Products",
values(productName) AS "Product Names" by clientip | rename clientip AS "VIP Customer"
2. レポートとして保存するには、サーチバーの [名前を付けて保存] をクリックして、[レポート] を選択しま
す。
[レポートとして保存] ダイアログが表⽰されます。
3. タイトルとして「VIP Customer 」と⼊⼒します。
4. (オプション) 説明として「Buttercup Games most frequent shopper 」と⼊⼒します。
40
5. レポートはテーブルなので、視覚エフェクトは [なし] をクリックします。
6. タイムレンジピッカーを含める場合は、[はい] をクリックします。
7. [保存 ] をクリックします。
[レポートが作成されました] ダイアログボックスが表⽰されます。
このウィンドウには、その他のオプションが存在しています。
[編集の続⾏] を使⽤すると、サーチとレポートフォーマットをさらに調整することができます。
[ダッシュボードに追加] を使って、レポートを新しいまたは既存のダッシュボードに追加できます。
[表⽰] を使ってレポートを表⽰できます。
8. [表⽰] をクリックします。
保存済みレポートの表⽰と編集
レポートビューから、保存済みレポートを表⽰、編集することができます。
1. 「VIP Customer」のレポートビューで、[編集] をクリックします。
サーチビューでレポートを開いて、保存済みサーチの説明、権限、スケジュール、および⾼速化を編集することが
できます。また、このメニューからレポートの複製、埋め込み、削除を⾏うこともできます。
41
2. [詳細] をクリックします。
スケジュール、⾼速化、権限、および埋め込みも含めて、レポートのさまざまなプロパティを表⽰、編集すること
ができます。
3. 左上にあるタイムレンジピッカーに注⽬してください。
このレポートは、タイムレンジピッカー付きで保存しました。タイムレンジピッカーにより、サーチの実⾏対象期
間を変更することができます。たとえば、タイムレンジピッカーを使って事前設定されているプリセット時間範囲
を選択または独⾃の時間範囲を定義して、今週の VIP 顧客、過去 60 分の VIP 顧客、または過去 24 時間の
VIP 顧客などに対してサーチを実⾏することができます。
「タイムレンジピッカーについて」を参照してください。
保存済みレポートの検索と共有
App ナビゲーションバーを使って、保存済みレポートにアクセスすることができます。
1. [レポート] をクリックして、レポート⼀覧ページを表⽰します。
新しいレポートを保存すると、その権限が「プライベート」に設定されます。この場合、⾃分だけがレポートを
42
表⽰、編集することができます。他の App にレポートの表⽰、編集、またはその両⽅を許可する場合は、その権
限を変更してください。
1. 「VIP Customer 」レポートの [アクション] で、[編集] をクリックして、[権限の編集] を選択します。
[権限の編集] ダイアログボックスが表⽰されます。
2. [権限の編集] ダイアログボックスで、[表⽰] に [App] を設定し、[読み取り] の下の [全員] ボックスを選択し
ます。
この操作により、この App へのアクセス権がある全員に、表⽰権限が与えられます。
3. [保存 ] をクリックします。
レポートの⼀覧を表⽰しているページに戻ると、「VIP Customer」レポートの共有が「App 」に変化していま
す。
レポート⾼速化について
サーチに⼤量のイベントが存在しており、完了までに時間がかかる場合、将来的にそのサーチを再実⾏する際によ
り早く完了するようにレポートの⽣成を⾼速化できることがあります。このオプションは、サーチで⽣成されるレ
ポートが⾼速化の要件を満たしている場合に利⽤できます。「VIP Customer」レポートは変換サーチをベースに
43
しているため、⾼速化機能は利⽤できません。
このチュートリアルで利⽤しているサンプルデータは、量の⾯で限定されており、サーチは 1 ⽇分 (昨⽇) のデー
タに対して⾏われています。このようなサーチ、およびこのチュートリアルで今後使⽤、保存するサーチに対して
このボックスを選択しても、効果はありません。
レポート⾼速化およびレポート⾼速化を可能にするサーチの詳細は、『レポートマニュアル』の「レポートの⾼速
化」を参照してください。
次のステップ
続⾏して、他のサーチの実⾏例、およびさまざまなレポートの保存について学習してください。
他のサーチとレポート
このトピックでは、さまざまなサーチ例について説明していきます。
例 1：ユーザー・アクション数の⽐較
この例では、各商品の参照数、購⼊数、および買い物かごに追加された数を計算します。
このレポートには、フィールドのルックアップ例の productName フィールドが必要です。ルックアップを追加して
いない場合は、その例の⼿順に従って追加してください。
1. 次のサーチを実⾏します：
sourcetype=access_* status=200 | chart count AS views count(eval(action="addtocart")) AS addtocart
count(eval(action="purchase")) AS purchases by productName | rename productName AS "Product Name", views AS "Views",
addtocart AS "Adds to Cart", purchases AS "Purchases"
このサーチは chart コマンドを使⽤して
action=purchase
および
action=addtocart
のイベント数をカウントします。
2. [視覚エフェクト] ビューオプションを使って、結果を縦棒グラフとしてフォーマットします。
44
例 2：1 つのグラフにアクションと顧客転換率をオーバーレイする
1. 次のサーチを実⾏します：
sourcetype=access_* status=200 | stats count AS views count(eval(action="addtocart")) AS addtocart
count(eval(action="purchase")) AS purchases by productName | eval viewsToPurchase=(purchases/views)*100 | eval
cartToPurchase=(purchases/addtocart)*100 | table productName views addtocart purchases viewsToPurchase
cartToPurchase | rename productName AS "Product Name" views AS "Views", addtocart as "Adds To Cart", purchases AS
"Purchases"
このサーチでは、chart コマンドに代わりに stats コマンドを使⽤して、ユーザーのアクションをカウントしま
す。次に eval コマンドを使って「Product Views to Purchases」および「Adds to cart to Purchases」の顧客
転換率を計算する 2 つの新規フィールドを定義します。
ステップ 2〜6 では、「Conversion」(転換) シリーズを「Actions」(アクション) シリーズにオーバーレイするよ
うに、視覚エフェクトを設定します。
2. [視覚エフェクト] をクリックします。
これは例 1 と同じグラフですが、シリーズ「viewsToPurchase」および「cartToPurchase」が追加されていま
す。
3. [フォーマット] および [X 軸] をクリックします。
45
3.1 ラベルを -45 度回転します。ただし、ラベルは切り詰めません。
3.2 [適⽤] をクリックします。
4. [フォーマット] および [Y 軸] をクリックします。
4.1 [タイトル] で、[カスタム] を選択して、「Actions」と⼊⼒します。
4.2 [最⼤値] を 2500 に設定して、[間隔] を 500 にします。
4.3 [適⽤] をクリックします。
5. [フォーマット] および [グラフのオーバーレイ] をクリックします。
5.1 フィールド「viewsToPurchase」および「cartToPurchase」を⼊⼒または選択します。
5.2 [軸として表⽰] では、[オン] をクリックします。
5.3 [タイトル] で、[カスタム] を選択して、「Conversion Rates」と⼊⼒します。
5.4 [スケール] で、[線形] .を選択します。
5.5 [最⼤値] を 100 に設定して、[間隔] を 20 にします。
5.6 [適⽤] をクリックします。
46
6. [名前を付けて保存] をクリックして、[レポート] を選択します。
6.1 [レポートとして保存] ダイアログボックスで、タイトルとして「Comparison of Actions and Conversion
Rates by Product」を⼊⼒します。
6.2 (オプション) 説明として「The number of times a product is viewed, added to cart, and purchased and
the rates of purchases from these actions.」を⼊⼒します。
7. [保存 ] をクリックします。
例 3：商品購⼊の推移
このレポートでは、購⼊完了した各商品数をグラフ化します。
このレポートには、フィールドのルックアップ例の productName フィールドが必要です。ルックアップを追加して
いない場合は、その例の⼿順に従って追加してください。
1. 次の検索を⾏います。
sourcetype=access_* | timechart count(eval(action="purchase")) by productName usenull="f" useother="f"
47
フィールドを持つイベント数をカウントするには、count() 関数を使⽤します。usenull および
引数を使って、productName の値があるイベントをカウントします。
action=purchase
useother
これによって、以下の統計テーブルが作成されます。
2. [視覚エフェクト] タブをクリックし、[フォーマット] 、[X 軸] 、[Y 軸] 、および [凡例] をクリックして、以下
の折れ線グラフを作成します。
3. [名前を付けて保存] をクリックして、[レポート] を選択します。
3.1 [レポートとして保存] ダイアログ・ボックスで、タイトルとして「Product Purchases over Time」と⼊⼒
します。
3.2 (オプション) 説明として「The number of purchases for each product.」と⼊⼒します。
4. [保存] をクリックして、レポートを表⽰します。
48
例 4：購⼊傾向
この例では、スパークラインを使って購⼊数の傾向を表します。
および chart を使ったサーチの場合、結果テーブルにスパークラインを追加することができます。スパーク
ラインはサーチ結果テーブル内に表⽰されるインライングラフで、各⾏のプライマリキーに関連する時間ベースの
傾向を表⽰することを⽬的にしています。詳細は、『サーチマニュアル』の「サーチ結果へのスパークラインの追
加」を参照してください。
stats
この例では、フィールドのルックアップ例からの productName フィールドが必要です。ルックアップを追加してい
ない場合は、その例の⼿順に従って追加してください。
1. 以下のサーチを実⾏します。
sourcetype=access_* status=200 action=purchase| chart sparkline(count) AS "Purchases Trend" count AS Total by
categoryId | rename categoryId AS "Category"
chart
が
コマンドを使って各商品 productName に対して、購⼊数
関数の引数になることです。
action="purchase"
sparkline()
3. [名前を付けて保存] をクリックして、[レポート] を選択します。
49
をカウントします。違いは、購⼊数
4. [レポートとして保存] ダイアログボックスで、タイトルとして「Purchasing trends」を⼊⼒します。
5. (オプション) 説明として「Count of purchases with trending.」を⼊⼒します。
6. [保存] をクリックして、レポートを表⽰します。
次のステップ
ここまで、サーチをレポートとして保存しました。「ダッシュボードの作成」に進んで、ダッシュボードの概要、
およびサーチとレポートをダッシュボードパネルとして保存する⽅法について学習してください。
パート 7：ダッシュボードの作成
ダッシュボードについて
ダッシュボードは、サーチボックス、フィールド、グラフ、テーブル、およびリストなどのモジュールを含むこ
とができるパネルから構成されているビューです。通常、ダッシュボードのパネルは保存済みサーチにフックされ
ています。
視覚エフェクトまたはレポートを作成したら、[レポートとして保存] ダイアログボックスを使って新しい、また
は既存のダッシュボードに追加することができます。ダッシュボードエディタを使ってダッシュボードを作成した
り、既存のダッシュボードを編集したりすることもできます。ダッシュボードエディタは、ダッシュボードに追加
する保存済みレポートが複数ある場合に役⽴ちます。
ダッシュボード権限の変更
ダッシュボードエディタからダッシュボードへのアクセス権を指定できます。ただし、割り当てられているユー
ザーロール (およびそのロールが保有する権限) によっては、定義できるアクセス権が制限されている場合もあり
ます。
Splunk ユーザーロールが admin (デフォルトの権限を保有) の場合、プライベートなダッシュボード、特定の
App 内で利⽤できるダッシュボード、またはすべての App 内で利⽤できるダッシュボードを作成できます。ま
た、user、admin、および特定の権限を持つ他のロールなど、その他の Splunk ユーザーロールにアクセス権を提
供することも可能です。
ダッシュボードおよび他のナレッジオブジェクトの権限設定の詳細は、『管理マニュアル』の「ナレッジオブジェ
クトの権限の管理」を参照してください。
ダッシュボードパネルの視覚エフェクトの変更
ダッシュボードエディタでパネルを作成したら、ビジュアルエディタを使ってパネルの視覚エフェクトタイプを変
50
更したり、視覚エフェクトの動作を決定したりできます。ビジュアルエディタでは、パネルに指定されているサー
チに⼀致するデータ構造要件を持つタイプの視覚エフェクトを選択できます。
視覚エフェクトタイプの概要とその書式設定オプションについては、『データの視覚化』の「視覚化リファ
レンス」を参照してください。
各種視覚エフェクトタイプが必要とするデータ構造については、『データの視覚化』の「視覚エフェクトの
データ構造要件」を参照してください。
ダッシュボードの XML 設定の編集
ダッシュボードの作成に XML を使⽤する必要はありませんが、ダッシュボードの XML 設定を編集して、ダッ
シュボードのパネルを編集することができます。この⽅法では、ダッシュボードエディタでは利⽤できない機能を
編集することができます。たとえば、XML 設定を編集してダッシュボード名を変更したり、テーブル内の⾏数を
指定したりできます。『Developer Manual』の「Build and edit dashboards with SimplifiedXML」を参照し
てください。
ダッシュボードとダッシュボードパネルの作成
このトピックでは、サーチをダッシュボード・パネルとして保存する⽅法、およびダッシュボードに⼊⼒エレメン
トを追加する⽅法について説明していきます。
サーチをダッシュボードパネルとして保存
1. 以下のサーチを実⾏します。
sourcetype=access_* status=200 action=purchase | top categoryId
2. [視覚エフェクト] タブをクリックして、[円] グラフを選択します。
3. サーチビューで、[名前を付けて保存] をクリックして、[ダッシュボードパネル] を選択します。
51
[ダッシュボードパネルとして保存] ダイアログボックスが表⽰されます。
4. 新しいダッシュボードとダッシュボードパネルを定義します。
4.1. [新規] をクリックします。
4.2. [ダッシュボードのタイトル] に「Buttercup Games Purchases」と⼊⼒します。[ダッシュボード ID]
が、「Buttercup_games_purchases」に更新されます。
4.3. (オプション) ダッシュボードの説明として、「Reports on Buttercup Games purchases data」と⼊⼒しま
す。
4.4. パネルのタイトルとして、「Top Purchases by Category」を⼊⼒します。
4.5. [パネル作成 ] は [インラインサーチ] のままにします。
5. [保存] をクリックします。
6. [ダッシュボードの表⽰] をクリックします。
52
1 つのレポート・パネルを持つダッシュボードが作成されます。他のレポート・パネルを追加するために、新しい
サーチを実⾏してそれをこのダッシュボードに保存することができます。また、保存済みレポートを追加すること
もできます。
ダッシュボードパネルの表⽰と編集
1. App ナビゲーションバーから [ダッシュボード] をクリックしてください。
この操作を⾏うと、[ダッシュボード] ページに移動します。
新しいダッシュボードを作成したり、既存のダッシュボードを編集したりできます。作成した [Buttercup
Games Purchases ] ダッシュボードが表⽰されます。
2. ［i］列で、[Buttercup Games Purchases] の隣りにある⽮印をクリックすると、ダッシュボードに関する
その他の情報が表⽰されます。App のコンテキスト、スケジュールされているかどうか、その権限などの情報を
参照することができます。
情報のクイックリンクを使って、ダッシュボードのスケジュールと権限を編集することができます。
ダッシュボードへの⼊⼒の追加
1. [ダッシュボード] リストで、[Buttercup Games Purchases] をクリックして、保存したダッシュボードに
戻ります。
2. [編集] をクリックして、[パネルの編集] を選択します。
53
ダッシュボード上のパネルとモジュールに表⽰するオプションを編集するビューが表⽰されます。
3. [⼊⼒の追加] をクリックして、[時間] を選択します。
ダッシュボードエディタにタイムレンジピッカーが追加されます。時間範囲を変更して、デフォルトを設定するこ
とができます。
4. [完了] をクリックします。
54
このタイムレンジ・ピッカーを使って、各パネルに対応するインライン・サーチを同じ時間範囲に制限して実⾏す
ることができます。
次のステップ
次のトピックに進んで、ダッシュボードにその他のレポートを追加してみましょう。
ダッシュボードへの他のパネルの追加
前のセクションでは、サーチを実⾏して、それをレポートとして保存しました。このトピックでは、保存済みレ
ポートを既存のダッシュボードに追加します。
ダッシュボードへの保存済みレポートの追加
1. [Buttercup Games Purchases] ダッシュボードに戻ります。
2. [編集] をクリックして、[パネルの編集] を選択します。
3. [Buttercup Games Purchases] ダッシュボードエディタで、[パネルの追加] をクリックします。
55
[パネルの追加] サイドバー・メニューが表⽰されます。
4. レポートから新しいパネルを追加するには、[レポートから新規作成] をクリックします。
保存済みレポートのリストが表⽰されます。
5. [Purchasing Trends] を選択します。
保存済みレポートのプレビューが表⽰されます。
56
6. [ダッシュボードに追加] をクリックします。
ダッシュボード・エディタに新しいパネルが配置されます。任意の場所をクリックして、[パネルの追加] サイド
バー・メニューを閉じるか、またはダッシュボードに追加する他のレポートを選択してください。
7. レポート「Comparison of Actions and Conversion Rates by Product 」を選択して、それをダッシュ
ボードに追加します。
8. [パネルの追加] サイドバーを閉じて、ダッシュボードのパネルを再配置します。
ダッシュボードエディタでは、パネルをドラッグアンドドロップしてダッシュボード内のパネルを再配置すること
ができます。
57
9. [完了] をクリックします。
完成したダッシュボードは以下のようになります。
58
その他のダッシュボード・アクション
ダッシュボードの完成後、右上のボタンを使ってダッシュボードを PDF にエクスポートまたは印刷することが
できます。また、権限を変更することで、他のユーザーとダッシュボードを共有することもできます。
次のステップ
これでサーチチュートリアルは完了です。
次のステップ
その他の Splunk サーチのリソース
このチュートリアルでは、サーチインターフェイスとサーチ⾔語の基本的な使⽤⽅法を紹介しました。基本的な
サーチの実⾏、結果のレポートおよびダッシュボードとしての保存などの⽅法をざっと説明しましたが、これらは
Splunk Enterprise で⾏える作業のほんの⼀部でしかありません。詳細は、以下の各マニュアルを参照してくださ
い。
サーチマニュアル：サーチの実⾏⽅法や、Splunk サーチ処理⾔語 (SPLâ„¢) の使⽤⽅法について説明して
います。さまざまな Splunk サーチの作成例を通じて、統計情報の計算、フィールドの評価、サーチ結果の
レポートなどの作業を⾏う⽅法を理解することができます。
サーチリファレンスマニュアル：サーチコマンドの構⽂、説明、および使⽤例を探している Splunk
Enterprise ユーザーの⽅向けのリファレンスガイドです。サーチを開始したい場合は、『サーチコマンド早
⾒表』を参照してください。これは、説明と例を記載したクイックガイドです。
チュートリアル⽤データをさらにいろいろと調査してさまざまなサーチを実⾏したり、ダッシュボードを作成した
りすることをお勧めします。
Splunk Enterprise のデータモデルとピボット機能の詳細を学習したい場合は、『データモデルとピボットチュー
トリアル』を参照してください。
Splunk Enterprise 機能の詳細と使⽤⽅法をさらに学習したい場合は、Splunk が提供する教育⽤ビデオや講座を
ご利⽤ください。
59

Download Report