Splunk Enterprise 6.2.0 Splunk Enterprise の概要

Splunk Enterprise 6.2.0
Splunk Enterprise の概要
作成:2014 年 11 ⽉ 21 ⽇ 午後 4 時 16 分
Copyright (c) 2015 Splunk Inc. All Rights Reserved
Table of Contents
はじめに
このマニュアルの内容
3
3
Splunk Enterpri se の概要について
Splunk Enterprise の概要について
Splunk Enterprise のユーザーについて
Splunk Enterprise のデプロイについて
3
3
4
4
Splunk Enterpri se のリソースとドキュメント
製品リソース
Splunk Enterprise の管理
サーチとレポート
ナレッジの管理
Splunk Enterprise のカスタマイズと拡張
トラブルシューティング
5
5
6
7
9
9
10
はじめに
このマニュアルの内容
このマニュアルには、2 種類の⽬的があります。
Splunk Enterprise の概要について: Splunk Enterprise およびそのユーザーの技術的な概要を説明して
いきます。Splunk Enterprise の機能と、デプロイ環境を構成するコンポーネントについて取り上げていま
す。
Splunk Enterprise のリソースとドキュメント: ⽬的の作業に応じて適切なドキュメントを探すために
役⽴つ情報を記載しています。
Splunk Enterprise の概要について
Splunk Enterprise の概要について
Splunk Enterprise とは
Splunk Enterprise は、お客様の IT インフラ/ビジネスを構成する、Web サイト、アプリケーション、セン
サー、デバイスなどから収集された、マシン⽣成データをサーチ、分析、視覚化するための、ソフトウェアプラッ
トフォームです。
データソースを定義すると、そのデータからインデックスが作成され、それを表⽰、サーチが可能な⼀連のイベン
トに変換するように、パーシングが⾏われます。
サーチ処理⾔語または対話型のピボット機能を使って、レポートや視覚エフェクトを作成できます。
Splunk Enterprise の機能
Splunk Enterprise の主な 7 つの機能を以下の表に⽰します。その他の機能については、Splunk.com をご覧く
ださい。
機能
説明
インデックス作成
マシンデータのインデックスを作成します。IT インフラを構成する、パッケージ製品や
独⾃のアプリケーション、アプリケーションサーバー、Web サーバー、データベー
ス、ネットワーク、仮想マシン、通信機器、オペレーティングシステム、センサーなど
からのデータを処理できます。可能な最⼤インデックス作成量は、Splunk Enterprise
ライセンスによって異なります。
データモデル
データモデルは 1 つまたは複数のデータセットに関する、ナレッジをサーチ時マッピン
グしたもので、階層構造になっています。それらのデータセットに対するさまざまな特
殊サーチを作成するために必要な、ドメインナレッジを符号化しています。これらの特
殊サーチは、ピボットユーザー向けのレポートを⽣成するために⽤いられます。データ
モデルのオブジェクトは、Splunk Enterprise がインデックスを作成したデータセット
内の、それぞれが異なるサブセットを表しています。
ピボット
ピボットは、ピボットエディタを使って作成した、テーブル、グラフ、または視覚エ
フェクトです。ピボットエディタを利⽤すれば、データモデルオブジェクトが定義する
属性を、テーブルやグラフなどのデータ視覚エフェクトに関連付けることができます。
複雑なサーチを作成する必要はありません。ピボットをレポートとして保存して、ダッ
シュボードに追加することができます。
サーチ
サーチは Splunk Enterprise でユーザーがデータを探索するための、主な⼿段です。
サーチを作成して、インデックスからイベントを取得することができます。統計コマン
ドを使って測定基準を算出し、レポートを⽣成できます。時間の経過に伴って⼀定期間
(範囲) に発⽣した特定の条件をサーチできます。またデータ内のパターンを識別し、将
来的な傾向を予測することもできます。サーチはレポートとして保存して、ダッシュ
ボードのパネルとして使⽤することができます。
アラート
アラートは、履歴サーチまたはリアルタイムサーチで、サーチ結果が特定の条件を満た
した場合に⽣成されます。アラート⽣成時に、アラート情報を特定のメールアドレスに
送信、RSS フィードにアラート情報を投稿、カスタムスクリプトの実⾏ (syslog にア
ラートイベントを投稿するなど) などの処理を⾏うように、アラートを設定することが
できます。
レポート
レポートは保存済みサーチやピボットです。レポートは任意の時点で実⾏することも、
定期的に実⾏するようにスケジュールすることもできます。また、実⾏結果が特定の条
件を満たした場合に、アラートを⽣成するようにスケジュール済みレポートを設定する
こともできます。レポートは、ダッシュボードにパネルとして追加できます。
ダッシュボード
ダッシュボードは、サーチボックス、フィールド、グラフ、テーブル、フォームなどの
モジュールを⼊れることができるパネルから構成されています。通常、ダッシュボード
のパネルは保存済みサーチと関連付けられています。これには、完了したサーチの結果
3
やバックグラウンドのリアルタイムサーチの結果を表⽰することができます。
Splunk Enterprise クイックリファレンスガイドのダウンロード
Splunk Enterprise クイックリファレンスガイド (バージョン 6.1 で更新) は、PDF ファイルでのみ利⽤できま
す。これは 6 ページのリファレンスカードで、Splunk Enterprise の機能、概念、サーチコマンド、およびサー
チの例が記載されています。
Splunk Enterprise のユーザーについて
Splunk Enterprise は、さまざまなタイプのユーザーにサービスを提供します。Splunk Enterprise を使⽤する
ユーザーは、主に 5 種類に分類できます。
ユーザー
管理者
役割
ネットワークエン
ジニア、システム
管理者
ナレッジマネー
ジャー
データアナリス
ト、システム管理
者
サーチユーザー
データアナリス
ト、IT プロフェッ
ショナル、ネット
ワークエンジニ
ア、セキュリティ
アナリスト、シス
テム管理者
ピボットユーザー
開発者
ビジネスプロ
フェッショナル、
データアナリス
ト、IT プロフェッ
ショナル、マネー
ジャー、システム
管理者
システムインテグ
レータ、プロ
フェッショナルの
開発者
作業
Splunk Enterprise デプロイ環境の設定、管理、最適化、
および保護を⾏います。
ユーザーアカウントと権限を設定します。
Splunk Enterprise にデータを取り込みます。
チーム、部⾨、およびデプロイ環境にまたがって、ナレッ
ジオブジェクトの作成、正規化、および使⽤を管理しま
す。
データを Splunk に取り込む、または管理者と連携して作
業を⾏います。
データモデルを作成、共有します。
サーチを使ってサーバーの問題の調査、設定の理解、ユー
ザーアクティビティのモニター、および問題のトラブル
シューティングを⾏います。
レポートやダッシュボードを作成して、IT インフラのヘル
ス、パフォーマンス、アクティビティ、およびキャパシ
ティをモニターします。
問題の兆候や繰り返し発⽣する問題のパターンや傾向を特
定します。
ピボットを使って、ナレッジマネージャーが作成したデー
タモデルに基づいて、レポートを作成します。
ビジネスをモニターするレポートとダッシュボードを作成
します。
ビジネスのヘルス状態とパフォーマンスの傾向を判別しま
す。
アプリケーションのデータと機能を Splunk Enterprise と
統合します。
カスタムのダッシュボードや視覚エフェクトを使って、
Splunk App やアドオンを作成します。
Splunk Enterprise のデプロイについて
Splunk Enterprise と IT インフラ
Splunk Enterprise は、ご利⽤の IT インフラを構成するサーバー、アプリケーション、データベース、ネット
ワーク機器、仮想マシンなどからのデータのインデックスを作成します。データを⽣成するマシンがご利⽤のネッ
トワーク上に存在している限り、任意の場所のマシンからデータを収集することができます。ローカル (社内の
サーバー・ルームにあるマシンなど)、リモート (社外のデータセンターにあるマシンなど)、またはハイブリッド
環境 (社内マシンとクラウドにあるデータ) など、さまざまな環境にあるマシンからデータを収集できます。
⼤部分のユーザーはブラウザを使って Splunk Enterprise にアクセスします。また、Splunk Web を使って、デ
プロイ環境の管理、ナレッジオブジェクトの作成と管理、サーチの実⾏、ピボットやレポートの作成などの作業を
⾏います。また、コマンドラインインターフェイスを使って、Splunk Enterprise デプロイ環境を管理することも
できます。
Splunk Enterprise は、複数ユーザー/分散製品アーキテクチャをサポートしています。そのため、単⼀のデータ
センター内、または複数のデータセンター/クラウド環境にまたがってデプロイされた、複数の Splunk
Enterprise のデータを対象に、サーチを実⾏したり、レポートを作成したりすることができます。
Splunk Enterprise のコンポーネント
4
コンポーネント
説明
App
App は、設定情報、ナレッジオブジェクト、および独⾃設計のビューやダッシュボード
の集合体です。App は Splunk Enterprise 環境を拡張し、UNIX/Windows システム
管理者、ネットワークセキュリティ担当者、Web サイト管理者、ビジネスアナリスト
など、組織内の各チームのニーズに合わせた多彩な機能を提供しています。単⼀の
Splunk Enterprise で、複数の App を同時実⾏することができます。
フォワーダー
フォワーダーは、データを他の Splunk Enterprise インスタンス (インデクサーまたは
他のフォワーダー) またはサードパーティ製システムに転送する Splunk Enterprise イ
ンスタンスです。
インデクサー
インデクサーは、データのインデックスを作成する Splunk Enterprise インスタンスで
す。インデクサーは raw データをイベントに変換し、それをインデックスに保管しま
す。また、サーチリクエストに応じて、インデックスデータをサーチします。
レシーバー
レシーバーは、フォワーダーからデータを受信するように設定された、Splunk
Enterprise インスタンスです。レシーバーはインデクサーまたは他のフォワーダーにな
ります。
サーチヘッド
サーチヘッドは分散サーチ環境でサーチの管理を担当し、サーチリクエストを⼀連の
サーチピアに割り当てて、その結果をまとめてからユーザーに返す Splunk Enterprise
インスタンスです。このインスタンスがサーチのみを担当し、インデックスを作成しな
い場合は、専任サーチヘッドと呼ばれます。
サーチピア
分散環境でサーチピアは、インデックスの作成を担当し、またサーチヘッドから割り当
てられたサーチリクエストの処理を⾏う Splunk Enterprise インスタンスです。
これらのコンポーネントと分散環境におけるその役割については、『分散デプロイ』マニュアルの「コンポーネン
トとロール」を参照してください。
Splunk Enterprise のリソースとドキュメント
製品リソース
このトピックは、ドキュメント、教育、コミュニティなどの、Splunk Enterprise や 他の Splunk 製品に関する
情報を探すために役⽴つリソースの概要を説明しています。
ドキュメント
⽬的
Splunk Enterprise
参照箇所
Splunk Enterprise の設定および使⽤に関する情報は、Splunk Enterprise
ドキュメントに記載されています。Splunk Enterprise ドキュメントの以下
のトピックに、有益な情報が記載されています。
Splunk Enterprise の管理
サーチとレポート
ナレッジの管理
Splunk Enterprise のカスタマイズと拡張
トラブルシューティング
Splunk 製品
Splunk 製品には、Splunk Enterprise、Hunk、Splunk Cloud、および
Splunk Storm が含まれます。各 Splunk 製品には、独⾃のドキュメント
セットが⽤意されています。Splunk.com を参照してください。
Splunk Apps
各 App には、独⾃のドキュメントが⽤意されています。⼀般的に、App の
ドキュメントは、その App のダウンロードページにリンクが記載されてい
るか、または App のダウンロードパッケージに同梱されています。Splunk
がサポートしている App の場合、その App のドキュメントは Splunk のド
キュメントサイトにのみ⽤意されています。
Splunk SDK
Splunk SDK は、Splunk for Developers サイトで提供されています。ここ
には、各 Splunk SDK に関する情報、チュートリアル、および例が記載さ
れています。SDK のモジュールライブラリや他の参考資料については、
Splunk ドキュメントサイトを参照してください。
教育
⽬的
参照箇所
5
Splunk Education
Splunk トレーニングクラスおよび認定
ビデオチュートリアル
Splunk Education ビデオ
コミュニティ
⽬的
参照箇所
Splunk Answers
ドキュメントに⽬的の情報が記載されていない場合は、Splunk Answers を
ご覧ください。コミュニティからのコメントが記載されています。また、新
たに質問することもできます。
#splunk
efnet の IRC サーバーにログインして、Splunk 開発者、Splunk サポー
ト、および他の Splunk コミュニティのメンバーとチャットすることができ
ます。
Splunk Enterprise の管理
このトピックは、管理者が⾏う作業、およびその⽅法を学習するためのマニュアルやトピックを記載しています。
Splunk Enterprise のインストールとアップグレード
『Installation Manual』は、Splunk Enterprise のインストールおよびアップグレード⽅法について説明してい
ます。
作業:
参照先:
インストール要件の理解
インストールのプランニング
必要なハードウェア容量の⾒積もり
ハードウェア要件の⾒積もり
Splunk のインストール
Windows への Splunk のインストール
Unix、Linux、または MacOS への Splunk のインス
トール
Splunk のアップグレード
以前のバージョンからのアップグレード
バックアップの実⾏
設定情報のバックアップ
インデックス作成されたデータのバックアップ
リタイア/アーカイブポリシーの設定
Splunk Enterprise へのデータの取り込み
『データの取り込み』には、外部データソースからのデータの取り込み、データ価値の向上など、Splunk への
データの取り込み (またはデータ⼊⼒) に関する情報が記載されています。
作業:
参照先:
外部データの取り込み⽅法の学習
Splunk へのデータの取り込み
ファイルおよびディレクトリからのデータ取り込みの
設定
ファイルやディレクトリからデータを収集
ネットワークからのデータ取り込みの設定
ネットワークイベントの取得
Windows からのデータ取り込みの設定
Windows データの取得
その他のデータ取り込みの設定
その他のデータの取得
データ価値の向上
イベント処理の設定
タイムスタンプの設定
インデックスフィールド抽出の設定
ホスト値の設定
ソースタイプの設定
イベントのセグメント分割の管理
インデックス作成後のデータ
データのプレビュー
プロセスの改善
データ⼊⼒プロセスの改善
データパイプライン
Splunk Enterprise 内でのデータの移動:データパイ
プライン
インデックスとインデクサーの管理
『インデックスとクラスタの管理』は、インデックスの設定⽅法について説明しています。また、インデックスを
保持するコンポーネントである、インデクサーとインデクサーのクラスタの管理⽅法についても説明しています。
作業:
参照先:
6
インデックス作成についての学習
インデックスの概要
インデックスの管理
インデックスの管理
インデックスストレージの管理
インデクサーによるインデックスの保管⽅法
インデックスのバックアップ
インデックス作成されたデータのバックアップ
インデックスのアーカイブ
リタイアおよびアーカイブポリシーの設定
クラスタとインデックスレプリケーションについての
学習
クラスタとインデックスレプリケーションについて
クラスタのデプロイ
クラスタのデプロイ
クラスタの設定
クラスタの設定
クラスタの管理
クラスタの管理
クラスタアーキテクチャについての学習
クラスタの仕組み
Splunk Enterprise 環境の拡張
『分散デプロイ』マニュアルは、フォワーダー、インデクサー、サーチヘッドなどの複数のコンポーネントにまた
がって、Splunk Enterprise の機能を分散する⽅法について説明しています。関連マニュアルに、分散コンポーネ
ントの詳細が記載されています。
『データの転送』マニュアルは、フォワーダーについて説明しています。
『分散サーチ』マニュアルは、サーチヘッドについて説明しています。
『Splunk コンポーネントの更新』マニュアルは、デプロイ環境を管理するための、デプロイサーバーの使
⽤とフォワーダーの管理⽅法について説明しています。
作業:
参照先:
分散 Splunk についての学習
分散 Splunk の概要
Splunk デプロイのキャパシティプランニング
ハードウェア要件の⾒積もり
データの転送⽅法の学習
データ転送
複数のインデクサーにまたがった分散サーチ
複数インデクサーに対するサーチ
デプロイの更新
環境全体への設定更新のデプロイ
Splunk Enterprise の保護
『Splunk のセキュリティ』は、Splunk デプロイ環境のセキュリティについて説明しています。
作業:
参照先:
ユーザーの認証とロールの編集
ユーザーおよびロールベースのアクセス制御
SSL による Splunk データの保護
セキュリティ認証と暗号化
Splunk の監査
Splunk アクティビティの監査
Splunk でのシングルサインオン (SSO) の使⽤
シングルサインオンの設定
Splunk での LDAP の使⽤
LDAP によるユーザー認証の設定
サーチとレポート
[サーチとレポート] App を使って、データのサーチ、データモデルとピボットの作成、サーチやピボットのレ
ポートとしての保存、アラートの設定、ダッシュボードの作成などの作業を⾏えます。
サーチ
『サーチマニュアル 』は、サーチ⽅法およびサーチ⾔語の使⽤⽅法について説明しています。サーチコマンドと
その構⽂、説明、および例については、『サーチリファレンス』マニュアルを参照してください。
作業:
参照先:
初めて Splunk Enterprise を使⽤するため、サーチの
実⾏⽅法およびサーチ処理⾔語の使⽤⽅法を学習
『サーチチュートリアル』を参照
サーチ処理⾔語の詳細の学習
サーチについて
サーチ⾔語について
サーチ処理⾔語の構⽂
変換コマンドとサーチについて
リアルタイムサーチとレポートについて
7
特定のサーチコマンドまたは関数を探す
サーチコマンドの⼀覧
サーチコマンドのカテゴリ別⼀覧
eval と where の関数⼀覧
stats、chart、および timechart の関数の⼀覧
サーチジョブの管理
ジョブとジョブ管理について
サーチジョブ調査によるサーチジョブプロパティの表
⽰
ピボットの作成
『ナレッジ管理』マニュアルには、データモデルエディタを使ったデータモデルの設計と構築⽅法を説明している
セクションがあります。『ピボットマニュアル』は、ピボットテーブルおよびグラフの作成⽅法を説明していま
す。
作業:
参照先:
初めて Splunk Enterprise を使⽤するため、データモ
デルおよピボットについて学習
ピボットチュートリアル
データモデルの詳細および作成⽅法について学習
データモデルについて
ピボットの詳細と、ピボットエディタを使ったテーブ
ルとグラフの設計⽅法を学習
ピボットマニュアル
レポート
作業:
参照先:
サーチコマンドを使ってレポートを⽣成
変換コマンドとサーチについて
利⽤できる各種視覚エフェクトについて学習 (テーブ
ル、グラフ、イベントリスト、その他)
視覚化リファレンス
視覚エフェクトのデータ構造要件
サーチやピボットのレポートとしての保存
レポートの作成と編集
レポートの⾼速化
レポートの⾼速化
レポート⾼速化の要件の理解
レポートのスケジュール
レポートのスケジュール
レポートの PDF を⽣成
レポートとダッシュボードの PDF の⽣成
アラート
アラートの作成およびディスパッチについては、『アラートマニュアル』を参照してください。
作業:
参照先:
アラートについての学習
アラートについて
メール通知、RSS 通知、またはアラートスクリプトの
設定
アラートアクションの設定
アラートの例を参照
アラートの例
最近⽣成されたアラートを参照
⽣成されたアラートをアラート管理で確認
設定ファイルを使ったアラートの設定
savedsearches.conf 内のアラート設定
ダッシュボードと視覚エフェクトの作成
作業:
参照先:
ダッシュボードについての学習
ダッシュボードの概要
ダッシュボードの作成、編集⽅法の学習
Splunk Web を使ったダッシュボードの作成と編集
ダッシュボードパネルの視覚エフェクトの編集
シンプル XML でのダッシュボードの作成と編集
8
利⽤できる各種視覚エフェクトについて学習 (テーブ
ル、グラフ、イベントリスト、その他)
視覚化リファレンス
視覚エフェクトのデータ構造要件
デフォルトのアクティビティとサマリーダッシュボー
ドについて学習
Splunk のデフォルトダッシュボード
Splunk Web フレームワークの学習
Splunk Web フレームワークの概要
ナレッジの管理
これらの表は、イベント、フィールド、ルックアップ、およびデータモデルなどの、ナレッジオブジェクトを理
解、管理するためのトピックを記載しています。
Splunk Enterprise のナレッジ
作業:
Splunk Enterprise のナレッジについて
参照先:
Splunk Enterprise のナレッジとは?
共通の情報モデルの理解と使⽤
ナレッジオブジェクトの管理
ナレッジオブジェクトの監視と編成
ナレッジオブジェクトの無効化または削除
イベントとイベントの処理
作業:
参照先:
イベント処理の設定
イベント処理の設定
イベントのセグメント分割の管理
イベントのセグメント分割の管理
イベントタイプについて
イベントとイベントタイプについて
類似イベントの分類とグループ化
フィールドとフィールドの抽出
作業:
フィールドの概要
参照先:
フィールドについて
デフォルトフィールドの使⽤
複数値フィールドの設定
計算済みフィールドの定義
フィールド抽出の概要と管理
フィールドについて
Splunk Enterprise がフィールドを抽出する時期
サーチ時フィールド抽出の管理
Splunk Enterprise の正規表現について
データモデルの作成
作業:
参照先:
データモデルとオブジェクトの学習
データモデルについて
データモデルとオブジェクトの管理
データモデルの管理
データモデルエディタの使⽤
データモデルとオブジェクトの設計
Splunk Enterprise のカスタマイズと拡張
開発者は、Splunk App を作成したり、他のツールやアプリケーションを Splunk Enterprise に統合したりする
ことができます。詳細は、以下のリンクを参照してください。
9
Splunk App の開発
作業:
参照先:
Splunk Web フレームワークの使⽤
Splunk Web フレームワークの概要
Splunk Web フレームワークの例を参照
Splunk Web フレームワークのコードの例
Splunk Web フレームワークのコンポーネントを参照
Splunk Web フレームワークのコンポーネントリファ
レンス
Splunk REST API の使⽤
開発者は Splunk REST API を使って、任意のアプリケーションから Splunk Enterprise 内のデータのインデッ
クス作成、サーチ、視覚化を⾏うことができます。
作業:
参照先:
Splunk REST API について
Splunk REST API の概要
Splunk REST API の使⽤⽅法の学習
REST API チュートリアル
Splunk を使ったログの改善⽅法について
ログの概要
ログのベストプラクティス
REST API リファレンスを参照
REST API リファレンス
Splunk SDK のダウンロードとインストール
Splunk SDK に関する情報は、Splunk for Developers サイトと Splunk ドキュメントサイトを参照してくださ
い。
作業:
参照先:
Splunk SDK の詳細を学習
Splunk SDK の概要
Splunk SDK のコードライブラリと例を参照
Splunk SDK リファレンス
Splunk Enterprise の機能拡張
開発者は、サーチ⾔語を拡張して、独⾃の処理や計算を⾏ったり、データ⼊⼒をカスタマイズすることができま
す。
作業:
サーチ⾔語の拡張
参照先:
カスタムサーチコマンドの作成
サーチマクロの作成と編集
スクリプトアラートの設定
カスタムデータ⼊⼒の管理
スクリプト⼊⼒の概要
モジュール⼊⼒の概要
トラブルシューティング
『トラブルシューティング・マニュアル』は、Splunk Enterprise を使ったアクティビティの分析と問題の診断⽅
法を説明しています。他のマニュアルを参照して、特定の情報を⼊⼿することもできます。たとえば、『サーチマ
ニュアル』には、サーチパフォーマンスの改善⽅法に関する記事が記載されています。
作業:
新機能、既知の問題、修正された問題などの情報を学
習
参照先:
このバージョンの新機能
このリリースの既知の問題
Splunk Enterprise トラブルシューティングツールに
ついての学習
Splunk Enterprise トラブルシューティングの概要
btool を使った設定のトラブルシューティング
Splunk App での Splunk の使⽤
プラットフォーム情報フレームワークの使⽤
プラットフォームインストルメンテーションフレーム
ワークについて
10
Splunk Enterprise ログファイルについて
Splunk Enterprise ログとは
metrics.log について
サーチパフォーマンスのトラブルシューティング
より良いサーチの作成
サーチジョブ調査によるサーチプロパティの表⽰
ライセンス違反のトラブルシューティング
ライセンス違反について
ライセンス使⽤状況レポートビューの使⽤
11