Splunk Enterprise 6.3.0 分散管理コンソールマニュアル

Splunk Enterprise 6.3.0
分散管理コンソールマニュアル
作成⽇時:2015/09/10 4:04 pm
Copyright (c) 2016 Splunk Inc. All Rights Reserved
Table of Contents
分散管理コンソールのセットアップ
分散管理コンソールについて
複数のインスタンスデプロイ DMC のセットアップ⼿順
単⼀インスタンスデプロイ DMC のセットアップ⼿順
コンソールを利⽤するインスタンス
DMC の前提条件
クラスタラベルの設定
インスタンスをサーチピアとして DMC に追加
スタンドアロンモードで DMC を設定
分散モードで DMC を設定
DMC にフォワーダーモニタリングを設定
DMC をデフォルト設定に戻す
プラットフォームアラート
DMC ダッシュボードレファレンス
サーチアクティビティ:インスタンス
サーチアクティビティ:デプロイ
サーチ使⽤統計:インスタンス
インデックス作成のパフォーマンス:インスタンス
インデックス作成のパフォーマンス:デプロイ
リソース使⽤状況:インスタンス
リソース使⽤状況:マシン
リソース使⽤状況:デプロイ
KV ストア:インスタンス
KV ストア:デプロイ
サーチヘッドクラスタリングダッシュボード
インデクサークラスタリング:ステータス
インデクサークラスタリング:サービスアクティビティ
インデックス作成:インデックスとボリュームのダッシュボード
フォワーダー:インスタンス
フォワーダー:デプロイ
ライセンス
3
3
3
4
4
5
6
6
7
7
7
8
8
10
10
11
11
12
13
13
14
14
14
16
17
19
19
20
20
20
21
分散管理コンソールのセットアップ
分散管理コンソールについて
分散管理コンソールとは
分散管理コンソール(DMC)により、Splunk Enterprise のデプロイに関する詳細なトポロジーとパフォーマン
ス情報を参照することができます。本章では、利⽤できるダッシュボードとアラートについて説明していきます。
ダッシュボードを使⽤することで、デプロイまたはインスタンスに関する次の項⽬について確認できます。
サーチパフォーマンス
インデックス作成のパフォーマンス
オペレーティングシステムリソースの使⽤状況
Splunk App キーバリューストアパフォーマンス
サーチヘッドとインデクサークラスタリング
インデックスと容量の使⽤状況
フォワーダー接続
ライセンスの使⽤状況
DMC ダッシュボードは Splunk Enterprise の内部ログファイル (metrics.log など)のデータや Splunk
Enterprise プラットフォームの計測から⼊⼿できるデータを使⽤します。
分散管理コンソールへの移動
Splunk Web 内の任意の場所から[設定] をクリックし、左側にある分散管理コンソール のアイコンをクリックし
ます。
DMC は Splunk Enterprise の admin 権限を持つユーザーだけが閲覧できます。
DMC の設定状態は⼤きく分けて3つあります。
Splunk Enterprise インスタンスでは、DMC をスタンドアロンモードで未設定のまま利⽤することができ
ます。この場合、デプロイでの各インスタンスで個別に DMC を利⽤して、そのインスタンスのパフォーマ
ンスを確認することができます。
スタンドアロンモードの場合も、設定⼿順を完了することでデフォルトのプラットフォームアラートを利⽤
できます。
分散モードの設定⼿順を完了することで、1つのインスタンスにログインし、デプロイでの各インスタンス
のパフォーマンス情報を参照することができます。
複数のインスタンスデプロイ DMC のセットアップ⼿順
本トピックでは、完全版 Splunk Enterprise デプロイをモニターする分散管理コンソール(DMC)のセットアッ
プ⼿順の概要について説明していきます。単⼀インスタンスのモニタリングを設定するには、「単⼀インスタンス
DMC のセットアップ⼿順」を参照してください。
1. デプロイにDMCをホストするインスタンスを決定します。
2. デプロイが前提条件を満たしているかどうかを確認します。
3. クラスタラベルの設定を⾏います。
4. インスタンスをサーチピアとして追加します。
5. 分散モードのDMC のセットアップを⾏います。
3
6. DMC のフォワーダーダッシュボードを使⽤する場合は、フォワーダーモニタリングのセットアップを⾏いま
す。
7. 事前設定プラットフォームアラートを有効にします。
単⼀インスタンスデプロイ DMC のセットアップ⼿順
本トピックでは、分散管理コンソール(DMC)をセットアップして単⼀の Splunk Enterprise インスタンスと
フォワーダーをモニターし、DMC のプラットフォームアラートを使⽤する⼿順の概要について説明していきま
す。Splunk Enterprise デプロイをモニターする DMC を設定するには、「複数インスタンスデプロイのセット
アップ⼿順」を参照してください。
1. インスタンスが前提条件を満たしているかどうかを確認します。
2. スタンドアロンモードで DMC をセットアップします。
3. DMC のフォワーダーダッシュボードを使⽤する場合は、フォワーダーモニタリングのセットアップを⾏いま
す。
4. 事前設定プラットフォームアラートを有効にします。
コンソールを利⽤するインスタンス
本トピックでは、Splunk Enterprise のデプロイで分散管理コンソール(DMC)をセットアップするプロセスの
⼿順について説明していきます。上記の「 分散管理コンソールについて」を参照してください。
DMC を分散モードに設定したら、デプロイの 1 つのインスタンスから、デプロイ全体のコンソール情報を参照す
ることができます。では、どのインスタンスで⾏うのでしょうか。
DMC をホストする場所については、さまざまなオプションがあります。選択するインスタンスは、サーチヘッド
として設定する必要があります。『キャパシティプランニング』マニュアルの「リファレンスハードウェア」を参
照してください。セキュリティおよびパフォーマンス上の理由から、このインスタンスには Splunk Enterprise
管理者のみがアクセスできるようにする必要があります。
重要: 単⼀のスタンドアロン型 Splunk Enterprise インスタンスの場合を除き、DMC をホストするインスタンス
は本番サーチヘッドとして使⽤せず、DMC の機能に関係のないサーチを実⾏をしないようにする必要がありま
す。
本表は、デプロイタイプに基づいて推奨される DMC の設定場所を説明するものです。
分散
モー
ド?
インデ
クサー
クラス
タリン
グ?
いい N/A
え
サーチ
ヘッド
クラス
タリン
グ?
DMC オプション
N/A
スタンドアロンインスタンス
はい いいえ
いいえ
ライセンスマスターまたは少数(<50)のクライアントを使⽤可能にするデプロイ
サーバーインスタンスの使⽤は DMC および特定の機能に限定されます。ライセンス
マスターとデプロイサーバーのいずれも利⽤できない場合は、他の⽬的で使⽤されて
いない専⽤サーチヘッドで DMC を実⾏します。
はい 単⼀ク
ラスタ
関係な
し
マスターノード他の⽬的で使⽤されていない専⽤サーチヘッドで DMC を実⾏するこ
ともできます。
複数の
はい クラス
タ
関係な
し
クラスタ全体でサーチヘッドノードとして設定されているサーチヘッド。このサーチ
ヘッドは DMC の使⽤に限定する必要があります。
はい いいえ
はい
サーチヘッドクラスタデプロイヤー:他の⽬的で使⽤されていない専⽤サーチヘッド
で DMC を実⾏することもできます。
単⼀のインデクサークラスタを構成するデプロイ:マスターノード
インデクサークラスタでは、クラスタマスターで DMC をホストします。『インデクサーとクラスタの管理』マ
ニュアルの「システム要件」を参照してください。
代案としては、クラスタのサーチヘッドノードで DMC をホストすることもできます。この場合、サーチヘッド
を使⽤して⾮ DMC サーチを実⾏することはできません。
複数のインデクサークラスタを構成するデプロイ:サーチヘッドノード
デプロイに複数のインデクサークラスタがあれば、各クラスタでサーチヘッドノードとして設定されたサーチヘッ
ドで DMC をホストします。このサーチヘッドを使⽤して⾮ DMC サーチを実⾏することはできません。
この操作を完了する主な⼿順は以下の通りです。
1. 各インデクサークラスタで、単⼀のサーチヘッドをノードとして設定します。『インデクサーとクラスタの管
理』マニュアルの「複数のインデクサークラスタでのサーチ」を参照してください。これがお使いの DMC イン
スタンスです。
4
2. 各マスターノードおよびクラスタ内のすべてのサーチヘッドノードを DMC インスタンスのサーチピアとして
設定します。「インスタンスをサーチピアとして追加」を参照してください。
警告: クラスタピアノード (インデクサー) をサーチピアとして DMC ノードに設定しないでください。これらは
インデクサークラスタのノードとして、DMC ノードなど、クラスタ内のすべてのサーチヘッドノードに認知され
ています。
⾮インデクサークラスタ環境でのオプション 1:ライセンスマスター上
以下の条件を満たしている場合、ライセンスマスター上にモニター⽤コンソールを設定することができます。
ライセンスマスターが、サーチ負荷に対応できるだけの処理能⼒を持っている (サーチヘッドのリファレン
スハードウェアの要件を満たしている、またはそれ以上である場合)。『キャパシティプランニング』マニュ
アルの「リファレンスハードウェア」を参照してください。
専⽤のライセンスマスターには、Splunk Enterprise の管理者のみがアクセスできます。
⾮インデクサークラスタ環境でのオプション 2:新しいインスタンス
別の⽅法としては、新しいインスタンスを⽤意し、それを各サーチヘッド⽤のサーチヘッド、および各インデク
サー⽤のサーチヘッドとして設定し、そこに DMC を分散モードで設定することができます。
サーチヘッドクラスタ環境
DMC をホストするには、デプロイヤーまたは専⽤のライセンスマスターを使⽤します。サーチヘッドクラスタメ
ンバー上に DMC を導⼊することはできません。『分散サーチ』マニュアルの「サーチヘッドクラスタのシステ
ム要件とデプロイに関する他の検討事項」を参照してください。
サーチヘッドプーリング環境では、分散管理コンソールはサポートされていません。
DMC とデプロイサーバー
ほとんどの場合、デプロイサーバーに分散 DMC をホストすることはできません。デプロイサーバーが処理する
デプロイクライアントの数が 50 以下の場合は例外となります。クライアントの数がこれよりも多いと、DMC と
デプロイサーバーの機能が⼲渉し合う可能性があります。『Splunk Enterprise インスタンスの更新』マニュアル
の「デプロイサーバーのプロビジョニング」を参照してください。
DMC の前提条件
本トピックでは、Splunk Enterprise のデプロイ、または単⼀の Splunk Enterprise インスタンスのいずれか
に、分散管理コンソール(DMC)をセットアップするプロセスの⼿順について説明していきます。上記の「 分散
管理コンソールについて」を参照してください。
この時点では既にデプロイでDMC をホストするインスタンスが決定されています。「クラスタラベルの設定」
(デプロイ⽤) 、または「スタンドアロンモードで DMC を設定」 (単⼀の Splunk Enterprise インスタンス⽤) に
進む前に、以下の前提条件が満たされているかどうか確認してください。
Splunk Enterprise のデプロイが正常に機能していること。『分散デプロイ』マニュアルの「分散 Splunk
Enterprise の概要」を参照してください。
デプロイが正常であり、すべてのピアが動作していること。
デプロイの各インスタンス (サーチヘッドやライセンスマスターなど) に⼀意の server.conf の serverName 値
および inputs.conf の host 値があること。
モニタリングを意図している Splunk Enterprise インスタンス (フォワーダー以外) に対してプラット
フォーム環境計測データが有効になっているほか、すべてのノードが下記のプラットフォーム環境計測デー
タのシステム要件を満たしている必要があります。
各ノードが Splunk Enterprise 6.1 以降を実⾏していること。
プラットフォーム環境計測データが Windows、Linux、Solaris をサポートしていること。プラット
フォーム環境計測データのシステム要件を参照してください。
他のすべてのインスタンスタイプからインデクサーに内部ログ ($SPLUNK_HOME/var/log/splunk
と$SPLUNK_HOME/var/log/introspection の両⽅) が転送されていること。『分散サーチ』マニュアルの「サーチ
5
ヘッドデータの転送」を参照してください。これを⾏わないと、多くのダッシュボードでデータが不⾜する
ことになります。他のインスタンスタイプには以下が挙げられます。
サーチヘッド
ライセンスマスター
クラスタマスター
デプロイサーバー
分散管理コンソールをセットアップするユーザーには "admin_all_objects" 権限が必要です。
クラスタラベルの設定
本トピックでは、Splunk Enterprise のデプロイで分散管理コンソールをセットアップするプロセスの⼿順につい
て説明していきます。上記の「 分散管理コンソールについて」を参照してください。
関連付けられたインスタンスを DMC が特定できるよう、クラスタ (インデクサークラスタおよびサーチヘッドク
ラスタの両⽅) にラベルを設定します。この特定により、DMC はインデクサークラスタリングとサーチヘッドク
ラスタリングのダッシュボードを追加できるようになります。
クラスタのデプロイ中
クラスタの最初のデプロイ中にラベルを設定することが推奨されます。必要な場合は、ラベルを後で設定したり、
変更したりすることも可能です。
デプロイ中にインデクサークラスタのラベルを設定するには、「インデクサークラスタマスターノードを有効にす
る」を参照してください。
デプロイ中にサーチヘッドクラスタのラベルを設定するには、「サーチヘッドクラスタのデプロイ」を参照してく
ださい。
クラスタのデプロイ後
新しいクラスタをデプロイする場合は、デプロイ中にクラスタのラベルを設定することが推奨されます。ただし、
たとえばクラスタのアップグレードなど、クラスタが既にデプロイされている場合は、この表に従って DMC の
セットアップを開始する時にクラスタのレベルを設定します。
Splunk Enterprise のバージョン、クラ
スタタイプ
6.3.0 以降のインデクサークラスタ
場所
⽅法
クラスタマスター上
以下を参照してください。
6.3.0 以降のサーチヘッドクラスタ (デプロイ すべての SHC メン
ヤーを除く)
バー 上
以下を参照してください。
6.3.0 以降のサーチヘッドクラスタデプロイ
ヤー
DMC セットアップ
ページ上
デプロイヤーインスタンスにラベルを設
定
6.3.0 以前のインデクサークラスタ
DMC セットアップ
ページ上
クラスタ内のすべてのインスタンスにラ
ベルを設定
6.3.0 以前のサーチヘッドクラスタ
DMC セットアップ
ページ上
クラスタ内のすべてのインスタンスにラ
ベルを設定
6.3.0 以降のインデクサークラスタのラベルをデプロイ後に設定するには、「ダッシュボードを使ったマスターの
設定」を参照するか、以下のクラスタマスターの CLI コマンドを使⽤します。
splunk edit cluster-config -cluster_label
6.3.0 以降のサーチヘッドクラスタのラベルをデプロイ後に設定するには、「サーチヘッドクラスタの設定」を参
照するか、以下のクラスタマスターの CLI コマンドを使⽤します。
splunk edit shcluster-config -shcluster_label
どちらの⽅法でクラスタのラベルを編集する場合も、 DMC セットアップページで[変更の適⽤ ] をクリックし、
DMC のアセットテーブルを必ず更新してください。
Using the DMC setup page
DMC セットアップページは [分散管理コンソール] > [設定] > [ ⼀般設定 ] にあります。
クラスタのラベルを編集した後、右上の [変更の適⽤ ] をクリックしてください。
インスタンスをサーチピアとして DMC に追加
本トピックでは、Splunk Enterprise のデプロイで分散管理コンソールをセットアップするプロセスの⼿順につい
て説明していきます。上記の「 分散管理コンソールについて」を参照してください。
1. 分散管理コンソールを設定するインスタンスにログインします。
2. Splunk Web で[設定] > [分散サーチ] > [サーチピア] へと進みます。
3. [新規 ] をクリックします。
4. 必須⼊⼒フィールドに⼊⼒し、[保存 ] をクリックします。
6
5. ⼿順 3 と⼿順 4 を繰り返し、各サーチヘッド、デプロイサーバー、ライセンスマスター、およびスタンドアロ
ンのインデクサーを、分散管理コンソールをホストするインスタンスに分散サーチピアとして追加します。クラス
タ構成インデクサーは追加しないでください。ただし、クラスタ構成サーチヘッドは追加する必要があります。
インデクサークラスタをモニタリングし、クラスタマスター以外のインスタンスで DMC をホストしている場合
は、クラスタマスターをサーチピアとして追加する必要があります。
DMC をセットアップするための次の⼿順は、「分散モードで DMC を設定」です。
スタンドアロンモードで DMC を設定
本トピックでは、スタンドアロンの Splunk Enterprise インスタンスで分散管理コンソール(DMC)をセット
アップするプロセスの⼿順について説明していきます。「単⼀インスタンス DMC のセットアップ⼿順」を参照
してください。
設定⽅法:
1. [分散管理コンソール ] > [設定 ] > [⼀般設定 ] に進みます。
2. [サーバーロール ] には、サーチヘッド、ライセンスマスター、インデクサー以外には何も⼀覧化されていない
ことを確認してください。そうでない場合は、[編集 ] をクリックします。
3. [変更の適⽤ ] をクリックして、セットアップを完了します。
DMC 設定の次の⼿順は、「フォワーダーモニタリングの設定」です。
分散モードで DMC を設定
本トピックでは、複数のインスタンスの Splunk Enterprise のデプロイで分散管理コンソール(DMC)をセット
アップするプロセスの⼿順について説明していきます。「複数のインスタンスデプロイ DMC のセットアップ⼿
順」を参照してください。
1. 分散管理コンソールを設定するインスタンスにログインします。デフォルトのインスタンスは未設定のスタン
ドアロンモードです。
2. Splunk Web で、[分散管理コンソール ] > [設定 ] > [⼀般設定 ] へと進みます。
3. 左上の [分散モード ] をオンにします。
4. 以下の事項を確認してください。
[インスタンス ] および [マシン ] 列に正しい値が記⼊されている(列ごとに⼀意の値が追加されてい
る)。注意: デプロイで Splunk Enterprise 6.1.x (6.2.0 以降ではなく) が動作しているノードがある場
合、そのインスタンス (ホスト) とマシン の値は追加されません。
マシン の値を探すには、通常、6.1.x のインスタンスにログインし、 *nix または Windows で
hostnameを実⾏します。ここでは、マシン がそのマシンの FQDN を表します。
インスタンス (host) の値を探すには、次のように btool を使⽤します:splunk cmd btool inputs list
default
これらの値が分かっている場合は、[設定 ] ページで [編集 ] > [インスタンスの編集 ] へと進みます。
ポップアップに、記⼊が必要な 2 つのフィールド [インスタンス (ホスト)名 ] と [マシン名 ] が表
⽰されます。
サーバーロールが正しく、プライマリまたはメジャーロールを持っているようにしてください。たとえば、
ライセンスマスターを兼ねたサーチヘッドには、両⽅のロールが設定されている必要があります。設定され
ていない場合は、[編集 ] をクリックして修正してください。
インデクサークラスタリングを使⽤している場合、クラスタマスターが設定されています。設定されていな
い場合は、[編集 ] をクリックして修正してください。
警告: インデクサーとして設定されている項⽬が、本当にインデクサーであることを確認してください。
5. (任意) カスタムグループを設定します。カスタムグループは、分散サーチグループに直接マップされるタグで
す。最初に DMC のセットアップを⾏う際に、グループを追加する必要はありません (その後も不要な場合もあり
ます)。たとえばマルチサイトのインデクサークラスタリング (各グループを 1 つの場所にあるインデクサーで構
成します)、またはインデクサークラスタとスタンドアロンのピアがある場合にグループが役⽴ちます。カスタム
グループでは、重複させることが可能です。つまり、1 つのインデクサーは複数のグループに所属させられます。
『分散サーチ』マニュアルの分散サーチグループを参照してください。
6. [変更の適⽤ ] をクリックします。
7. (任意) プラットフォームアラートをセットアップします。
デプロイで後から別のノードを追加する場合は、[設定 ] に戻って⼿順 4 の各項⽬が正しいことを確認してくださ
い。
DMC 設定の次の⼿順は、「フォワーダーモニタリングの設定」です。
DMC にフォワーダーモニタリングを設定
前提条件
フォワーダーダッシュボードのいくつかのパネルについては、フォワーダーに⼀意の永続的 GUID が必要です(そ
7
のため、フォワーダーの開始前にクローンを作成してください)。GUID は instance.cfg にあります。
セットアップ
[DMC ] >[設定 ] > [フォワーダー設定 ] と進み、Splunk Webのセットアップ⼿順に従います。
時間設定について
フォワーダーのセットアップでは、コレクションの間隔を設定したり、有効/無効にすることができます。 This
runs a scheduled search that populates dmc_forwarder_assets.csv, a lookup file that resides on the DMC
node, in etc/apps/splunk_management_console/lookups
Splunk Web で、[設定 ] > [サーチとレポート ] > [DMC フォワーダー - アセットテーブルの作成 ] に進むと、
サーチを確認することができます (ただし、変更はしないでください)。
スケジュール済みサーチは 15 分間遡って実⾏されます。これは、スケジュール済みサーチを⾏う頻度にあたる
データコレクションの間隔(フォワーダーのセットアップ)とは異なります。たとえば、コレクションの間隔を
24 時間に設定します。この場合、スケジュール済みサーチは 24 時間ごとに実⾏されるものの、チェックされる
のは実⾏開始前の 15 分間だけです。
フォワーダーの数が多い場合 (数⼗万など)、スケジュール済みサーチは⾼額になる可能性合があります。
フォワーダーのアセットテーブルの再構築
フォワーダーのアセットテーブルは、DMC がバックグラウンドで使⽤する .csv ルックアップファイルで、フォ
ワーダーモニタリングダッシュボードにどのフォワーダーの情報を表⽰するかが分かります。.csv ファイルの
データは蓄積されていきます。フォワーダーがインデクサーに接続すると、その記録が .csv ファイルに残りま
す。フォワーダーを削除しても、ファイルからフォワーダーの記録は削除されません。この場合は「不明」と表⽰
されます。削除されたフォワーダーが「不明」と表⽰されるのを回避するには、フォワーダーのセットアップ で
「フォワーダーアセットの再構築」をクリックします。こうした⼀度限りの追加サーチの実⾏については、アド
ホックサーチの履歴追跡時間を選択できます。(この選択によって、スケジュール済みサーチの履歴追跡時間(15
分)やデータコレクションの間隔が変更されることはありません)
DMC をデフォルト設定に戻す
次の⼿順に従うことで、インスタンスの分散管理コンソールをデフォルト (元の) 設定に戻すことができます。
1. Delete the
2.
$SPLUNK_HOME/etc/apps/splunk_management_console/local directory.
$SPLUNK_HOME/etc/apps/splunk_management_console/lookups
ディレクトリを削除します。
3.$SPLUNK_HOME/etc/system/local/distsearch.conf で、DMC が作成した分散サーチグループを参照するスタンザを削
除します。通常、これらのグループ名は dmc_group_* から始まります。
以下は、通常distsearch.conf に表⽰されるスタンザの例です。
[distributedSearch:dmc_group_cluster_master]
servers = localhost:localhost
[distributedSearch:dmc_group_deployment_server]
[distributedSearch:dmc_group_kv_store]
[distributedSearch:dmc_group_search_head]
servers = localhost:localhost,undiag02.sv.splunk.com:8089
[distributedSearch:dmc_group_license_master]
servers = localhost:localhost
[distributedSearch:dmc_customgroup_primary_search-head]
servers = undiag02.sv.splunk.com:8089
[distributedSearch:dmc_group_indexer]
default = true
servers = 10.159.4.67:8089,10.159.4.70:8089,10.159.4.71:8089,10.159.4.73:8089
4.すべてのスタンザを削除したら、変更を保存します。
5.Splunk Enterprise を再起動します。
プラットフォームアラート
プラットフォームアラートとは
プラットフォームアラート は、分散管理コンソール(DMC)に含まれる保存済みサーチです。プラットフォー
ムアラートは、Splunk Enterprise 環境に問題を引き起こす可能性がある状況を、Splunk Enterprise の管理者に
8
通知します。プラットフォームアラートは REST エンドポイントからデータを取得します。
デフォルトでは、プラットフォームアラートは無効になっています。
プラットフォームアラートを有効にする
前提条件
分散管理コンソールを設定します。「単⼀インスタンス DMC のセットアップ⼿順」または「複数インスタ
ンス DMC のセットアップ⼿順」を参照してください。
デプロイでアラート通知をセットアップします。
1. DMC の [概要 ] ページから [アラート ] > [有効または無効にする ]へ進みます。
2. 有効にするアラートの隣にある、[有効 ] のチェックボックスをクリックします。
アラートが⽣成されると、[ 概要 ] > [ アラート ] > [ ⽣成されたアラートの管理 ] へと進むことでアラートとその
結果を確認できます。
メール通知など、設定できるアラートアクションについては、次の「プラットフォームアラートの設定」を参照し
てください。
プラットフォームアラートの設定
DMC から、 [ 概要 ] > [ アラート ] > [ 有効または無効にする ] へと進みます。設定するアラートを探し、[編集 ]
をクリックします。ここではデフォルト設定を確認したり、以下のようなパラメータを変更できます。
アラートスケジュール
抑制時間
アラートアクション (メールなど)
「アラートアクションのセットアップ」、および『アラート』マニュアルに記載されている各種アラートオプショ
ンを参照してください。
また、$SPLUNK_HOME/etc/apps/splunk_management_console/default/savedsearches.conf では、プラットフォームアラート
のデフォルトのパラメータの⼀覧も確認できます。設定ファイルを直接編集する場合は、デフォルトではなく、
ローカルディレクトリに新しい設定を保管してください。
含まれているアラート
プラットフォームアラートを使ってデプロイのモニターリングを開始するには、希望するアラートを個別に有効に
する必要があります。上記の「プラットフォームアラートを有効にする」を参照してください。
アラー
ト名
説明
その他の参考情報
インデ
クサー
プロ
セッ
サーの
異常状
態
異常状態にあるインデクサーの詳細の確認や原
因調査の開始については、DMC の [インデック
] ダッシュボード
1 つ以上のインデクサーが、異常な状態を報告した スパフォーマンス:デプロイ
にある [インスタンスごとのインデックス作成
場合に⽣成されます。こうした異常状態は、抑制ま のパフォーマンス ] パネルを確認してくださ
たは停⽌することができます。
い。ダッシュボードについては [インデックスパ
フォーマンス:デプロイ]、および「インデック
ス作成の仕組み」を参照してください。
システ
ムによ
る物理
メモ
リーの
使⽤が
クリ
ティカ
ルと
なった
場合
1 つ以上のインスタンスのメモリー使⽤率が 90%
を超えた場合に⽣成されます。ほとんどの Linux
ディストリビューションでは、OS がバッファや
ファイルシステムのキャッシュアクティビティに関
与している場合に、このアラートが⽣成されます。
他のプロセスを必要とする場合、OS はこのメモ
リーを解放するため、こうしたアラートは常に深刻
な問題を⽰している訳ではありません。
期限切
れ、お
よびま
もなく
期限切
れとな
るライ
センス
インスタンスのメモリー使⽤状況の詳細につい
ては、DMC の[リソース使⽤状況:デプロイ]
ダッシュボードを確認してください。また、本
マニュアルの「リソース使⽤状況:デプロイ」
を参照してください。
既に期限切れとなっている、または 2 週間以内に
ライセンスおよびライセンスの使⽤状況に関す
期限切れとなるライセンスがある場合に⽣成されま る情報を確認する場合は、DMC の [ライセン
す。
ス ] をクリックします。
9
につい
て
⾒つか
らない
フォ
ワー
ダー
1 つ以上のフォワーダーが⾒つからない場合に⽣成 DMC のフォワーダーのダッシュボードを確認し
されます。
てください。
ディス
クの使
⽤量が
ニアク
リティ
カルと
なった
場合
ディスク容量の 80% が使⽤された場合に⽣成され
ます。
ディスクの使⽤状況の詳細については、DMC の
3 つの [リソース使⽤状況 ] ダッシュボードを確
認してください。また、本マニュアルの該当す
るトピックを参照してください。
イベン
ト処理
の
キュー
が飽和
した場
合
1 つ以上のインデクサーキューが、直近の 15 分間
の平均で、フィルの割合が 90% 以上であると報告
した場合に⽣成されます。このアラートでは、潜在
的なインデックス作成の遅延について通知できま
す。
インデクサーキューの詳細は、DMC の 2 つの
[インデックス作成のパフォーマンス ] ダッシュ
ボードで確認できます。また、本マニュアルの
該当するトピックを参照してください。
サーチ
ピアが
応答し
ない場
合
いずれかのサーチピア (インデクサー) と通信でき
ない場合に⽣成されます。
すべてのインスタンスのステータスについて
は、DMC の [インスタンス ] ビューを参照して
ください。
⽇次ラ
イセン
ス
クォー
タが合
計のラ
イセン
ス使⽤
量に接
近した
場合
⽇次ライセンスクォータの使⽤量の合計が 90% に
なった場合に⽣成されます。
ライセンス使⽤状況の詳細は、DMC の [ライセ
ンス ] をクリックします。
過去のサーチ結果について
savedsearches.conf のdispatch.ttl では、プラットフォームアラートからのサーチがサーチ結果を 4 時間保存す
るよう設定されています。
ただし、アラートが⽣成された場合は、過去のサーチ結果が 7 ⽇間保存されます。つまり、⽣成されたアラート
のサーチ結果を調査するためにメールで送信されるリンクは 7 ⽇間 (デフォルト) で期限切れとなります。
DMC ダッシュボードレファレンス
サーチアクティビティ:インスタンス
このトピックでは、分散管理コンソールの [サーチアクティビティ:インスタンス ] ダッシュボードについて参
照することができます。上記の「 分散管理コンソールについて」を参照してください。
このビューに表⽰される内容
サーチアクティビティに関する複数のパネル
このビューでの結果の解釈
[サーチのリソース使⽤状況中央値 ] パネルでは、以下の事項に注意してください。
リソース使⽤状況はすべてのサーチで集計されます。
メモリー使⽤状況は物理メモリーを対象としています。
このグラフの CPU 使⽤状況は、システム全体の CPU 使⽤状況ではなく、1 つのコアのパーセンテージで
表⽰されます。その結果、ここには >100% の値が表⽰されると想定されます。これは、分散管理コンソー
ルの他の CPU 使⽤状況の例とは異なります。
[サーチランタイム集計 ] パネルでは、以下の事項に注意してください。
グラフ内の各時間ビンに対して、DMC はその時間範囲で実⾏されたすべてのサーチのランタイムを合計し
ます。そのため、たとえば 5 分間で 1,000 秒のサーチになる場合もあります。この場合、その 5 分間に複
数のサーチが実⾏されたことになります。
履歴バッチおよび RT インデックス作成のモードで、 Splunk Enterprise 内の特定の機能 (スケジューラー
など) のみが履歴バッチをディスパッチできます。RT インデックス作成は、リアルタイムにインデックスが
作成されたことを意味しています。
10
[メモリーを消費するサーチ上位 10 位 ] パネルの SID はサーチ ID を意味します。保存済みサーチに関する情
報を探す場合は、audit.log によって保存済みサーチの名前 (savedsearch_name) をそのサーチ ID
(search_id)、ユーザー、および時刻と照合できます。search_id を使って、Splunk サーチログのように
(「Splunk がログに記録する情報」を参照) 他の場所にあるサーチを探すことができます。
このビューで注⽬する事項
システムの制限と⽐較した上で、同時サーチとリソース使⽤状況について検討してください。
詳細については以下を参照してください。
『サーチ』マニュアルの「より良いサーチの作成」
『サーチ』マニュアルの「サーチについて」
『レポート作成』マニュアルの「スケジュール済みレポートの優先度の設定」
『ナレッジマネジャー』マニュアルの「サマリーベースのサーチとピボット⾼速化の概要」
このビューのトラブルシューティング
[サーチアクティビティ ] パネルでは、デフォルトで 10 秒ごとにスナップショットが作成されます。その時点で
サーチが実⾏されていない場合、またはごく短時間のサーチを実⾏する場合、スナップショットのパネルはブラン
クとなり、「⾒つかりません」と表⽰されます。
履歴パネルは、イントロスペクションのログからデータを取得します。パネルがブランク、またはインデクサー以
外からの情報がない場合は、以下を確認してください。
イントロスペクションのログをインデクサーに転送していること
プラットフォーム環境計測データに関するシステム要件
サーチアクティビティ:デプロイ
このトピックでは、分散管理コンソールの [サーチアクティビティ:デプロイ ] ダッシュボードについて参照す
ることができます。上記の「 分散管理コンソールについて」を参照してください。
このビューに表⽰される内容
Splunk Enterprise のデプロイ全般でのサーチアクティビティに関する複数のパネル
このビューでの結果の解釈
ここに表⽰されるメモリーおよび CPU 使⽤状況は、サーチに関するもののみです。すべての Splunk Enterprise
のリソース使⽤状況については、リソース使⽤状況のダッシュボードを確認してください。
[中央値 CPU 使⽤状況別インスタンス ] パネルでは、コアが複数あるために CPU が 100% を超える場合があり
ます。
[中央値メモリー使⽤状況別インスタンス ] パネルのメモリーは物理メモリーです。
履歴バッチおよび RT インデックス作成のモードで、履歴バッチは Splunk Enterprise 内の特定の機能 (スケ
ジューラーなど)のみがディスパッチできます。RT インデックス作成は、リアルタイムにインデックスが作成さ
れたことを意味しています。
このビューで注⽬する事項
ご利⽤のマシンの制限値を超えそうな事項について確認してください。
詳細は、以下の項⽬を参照してください。
『サーチ』マニュアルの「より良いサーチの作成」
『サーチ』マニュアルの「サーチについて」
『レポート作成』マニュアルの「スケジュール済みレポートの優先度の設定」
『キャパシティプランニング』マニュアルの「多数の同時サーチの実⾏」を参照してください。
このビューのトラブルシューティング
履歴パネルは、イントロスペクションのログからデータを取得します。パネルがブランク、またはインデクサー以
外からの情報がない場合は、以下を確認してください。
イントロスペクションのログをインデクサーに転送していること
プラットフォーム環境計測データに関するシステム要件
サーチ使⽤統計:インスタンス
このトピックでは、分散管理コンソールの [サーチ使⽤統計:インスタンス ] ダッシュボードについて参照する
ことができます。上記の「 分散管理コンソールについて」を参照してください。
このビューに表⽰される内容
サーチ使⽤統計に関する複数のパネル
11
このビューでの結果の解釈
[⻑時間実⾏サーチ ] パネルで:
開始時刻の ZERO_TIME は、サーチがエポックまで実⾏されることを意味します。
終了時刻の ZERO_TIME は、サーチが解除されるまでサーチが⾏われることを意味します。
開始時刻と終了時刻の両⽅が ZERO_TIME の場合は、全時間サーチになります。
[⼀般的なサーチコマンド ] パネルでは、ランタイムが秒単位で表⽰されます。
このビューで注⽬する事項
⻑時間動作しているサーチを確認することが推奨されます。最適化できるサーチが⾒つかる可能性があります。
詳細は、『サーチ』マニュアルの「より良いサーチの作成」を参照してください。
このビューのトラブルシューティング
このビューの履歴パネルは、audit.log からデータを取得します。パネルがブランク、またはインデクサー以外か
らの情報がない場合は、イントロスペクションのログをインデクサーに転送しているかどうか確認してください。
[⻑時間実⾏サーチ ] パネルは、REST エンドポイントからの情報も使⽤します。
インデックス作成のパフォーマンス:インスタンス
このトピックでは、分散管理コンソールの [インデックス作成のパフォーマンス:インスタンス ] ダッシュボー
ドについて参照することができます。上記の「 分散管理コンソールについて」を参照してください。
このビューに表⽰される内容
1 つのインスタンス(デプロイでは複数になる可能性あり)でのインデックス作成のパフォーマンスに関する複数
のパネル
このビューでの結果の解釈
[Splunk Enterprise データパイプライン ] と呼ばれるスナップショットのパネルには、キューサイズの平均減
少値が表⽰されます。平均値には過去 15 分間のデータが使⽤されます。このパネルと履歴パネル [データ処理
キューの中央値フィルレシオ ] は、インデックス作成遅延の原因を特定のキューに絞り込むのに役⽴ちます。
データはパーシングから開始され、データパイプラインを経由して、最終的にインデックスが作成されます。
[インデクサープロセッサアクティビティごとに費やされた集計 CPU の秒数 ] パネルでは、「インデックス
サービスをサブタスクごとに分割」することが可能です。複数のインデックスサービスが、インデックス作成準備
および作成後のクリーンアップに関連するサブタスクになります。サブタスクのカテゴリの意味についての詳細
は、『トラブルシューティング』マニュアルの metrics.log のトピックを参照してください。
このビューで注⽬する事項
[Splunk Enterprise データパイプライン ] パネルと履歴パネル [データ処理キューの中央値フィルレシオ ]
は、インデックス作成遅延の原因を特定のキューに絞り込むのに役⽴ちます。データはパーシングから開始され、
データパイプラインを経由して、最終的にインデックスが作成されます。以下は不良状態のキューを持つインスタ
ンスのパネルの例です。
この例では、パーシングおよび集計 キューのフィルレシオが⾮常に⾼いものの、問題は⼊⼒キュー内のプロセス
にあると考えられます。最初に遅くなるのが⼊⼒キューです。⼊⼒キューへの格納待ちのデータは、他の 2 つの
キューにバックアップされます。
このビューのトラブルシューティング
スナップショットパネルは Splunk REST エンドポイントからイントロスペクション向けのデータを取得します。
スナップショットパネルのデータが不⾜している場合は以下を確認してください。
プラットフォーム環境計測データに関するシステム要件
server.confのpipelinesets設定パイプラインセットの使⽤時 (つまり、pipelinesetsが 1 よりも⼤きな値に設定
されている場合)、DMC インデックス作成パフォーマンスのダッシュボードがブランクであること。
12
このビューの履歴パネルのデータは、metrics.log から取得されます。
インデックス作成のパフォーマンス:デプロイ
このトピックでは、分散管理コンソールの [インデックス作成のパフォーマンス:デプロイ ] ダッシュボードに
ついて参照することができます。上記の「 分散管理コンソールについて」を参照してください。
このビューに表⽰される内容
Splunk Enterprise のデプロイ全般でのインデックス作成のパフォーマンスに関する複数のパネル
このビューでの結果の解釈
[インデックス作成パフォーマンスの概要 ] パネルのインデックス作成レートの合計は、すべてのインデクサーの
合計となります。
デフォルトではそれぞれのタイプの上位 10 位の結果だけを対象とする metrics.log が使⽤されるため、[推定イ
ンデックス作成レート別インスタンス ] パネルのインデックス作成レートは推定値になります。詳細は、『トラ
ブルシューティング』マニュアルの「metrics.log について」を参照してください。
このビューのトラブルシューティング
スナップショットパネルは Splunk REST エンドポイントからイントロスペクション向けのデータを取得します。
スナップショットパネルのデータが不⾜している場合は以下を確認してください。
プラットフォーム環境計測データに関するシステム要件
server.confのpipelinesets設定パイプラインセットの使⽤時 (つまり、pipelinesetsが 1 よりも⼤きな値に設定
されている場合)、DMC インデックス作成パフォーマンスのダッシュボードがブランクであること。
このビューの履歴パネルのデータは、metrics.log から取得されます。
リソース使⽤状況:インスタンス
このトピックでは、分散管理コンソールの [リソース使⽤状況:インスタンス ] ダッシュボードについて参照す
ることができます。上記の「 分散管理コンソールについて」を参照してください。
このビューに表⽰される内容
Splunk Enterprise インスタンスによって確認されるリソースの使⽤状況に関する複数のパネル
このビューでの結果の解釈
2 つの [プロセスクラス] パネルのプロセスクラスは、splunkd サーバー、サーチ、Splunk Web、インデックス
サービス、スクリプト⼊⼒、KVStoreなどになります。
プロセスクラスとは、1 つのクラスでのプロセスの集計を意味します。それぞれの詳細については、以下を参照し
てください。
splunkd については、『インストール』マニュアルの「Splunk Enterprise のアーキテクチャとプロセス」
をお読みください。
サーチについては、『サーチ』マニュアルの「サーチについて」と「より良いサーチの作成」をお読みくだ
さい。
splunkweb については、『インストール』マニュアルの「Splunk Enterprise のアーキテクチャとプロセ
ス」をお読みください。
スクリプト⼊⼒については、『データの取り込み』マニュアルの「スクリプト⼊⼒による API や他のリモー
トデータインターフェイスからのデータの取得」をお読みください。
KVStore については、DMC の「KV ストア:インスタンス」ビューを確認してください。
インデックスサービスはインデックス作成に関連する維持管理タスクで構成されています。これらはインデックス
作成パイプラインの最後に実⾏されるものの、同期されません。これらのプロセスは splunkd を経由せず、単独
で実⾏されます。
[ディスク使⽤状況 ] および [中央値ディスク使⽤状況 ] パネルには、Splunk Enterprise が使⽤するパーティ
ションのみが表⽰されます。
このビューで注⽬する事項
⼤量のリソースを使⽤しているプロセスクラスがサーチと判明した場合は、[サーチアクティビティ:インスタ
ンス ] ダッシュボードを確認します。
⻑時間実⾏されているプロセスについては、時間とともにメモリー使⽤量が継続的に増加していないかどうかを確
認してください。
このビューのトラブルシューティング
履歴パネルは、イントロスペクションのログからデータを取得します。パネルがブランク、またはインデクサー以
外からの情報がない場合は、以下を確認してください。
13
イントロスペクションのログをインデクサーに転送していること、および
プラットフォーム環境計測データに関するシステム要件
リソース使⽤状況:マシン
このトピックでは、分散管理コンソールの [リソース使⽤状況:マシン ] ダッシュボードについて参照することが
できます。上記の「 分散管理コンソールについて」を参照してください。
このビューに表⽰される内容
Splunk Enterprise のデプロイで個々のマシンがリソースを使⽤している状況に関する複数のパネル
このビューでの結果の解釈
このビューは、運⽤後の検討作業やキャパシティプランニングに役⽴ちます。詳細については『キャパシティプラ
ンニング』マニュアルを参照してください。
このビューの物理メモリー使⽤状況について:Linux の場合、OS は空いている物理メモリーを使って、ファイル
システムのリソースをキャッシュします。ただし、このようなメモリーは緩くロックされているため、優先度の⾼
いプロセスで必要となった場合には、メモリーが解放されてしまいます。DMC レポートでは、このように緩く
ロックされているメモリーの容量が識別されません。
[中央値 CPU 使⽤状況 ] パネルで、システムに搭載されているコア数に関係なく、100% はシステム全体を意味
します。これは、100% が 1 つのコアを意味する [サーチアクティビティ ] ダッシュボードと対照的です。
このビューのディスクスペースは、Splunk のあるパーティションのみを表しています。
このビューで注⽬する事項
⻑時間実⾏されているプロセスについては、時間とともにメモリー使⽤量が継続的に増加していないかどうかを確
認してください。
このビューのトラブルシューティング
履歴パネルは、イントロスペクションのログからデータを取得します。パネルがブランク、またはインデクサー以
外からの情報がない場合は、以下を確認してください。
イントロスペクションのログをインデクサーに転送していること、および
プラットフォーム環境計測データに関するシステム要件
リソース使⽤状況:デプロイ
このトピックでは、分散管理コンソールの [リソース使⽤状況:デプロイ ] ダッシュボードについて参照すること
ができます。上記の「 分散管理コンソールについて」を参照してください。
このビューに表⽰される内容
Splunk Enterprise のデプロイ全般でのリソースの使⽤状況に関する複数のパネル。これらのパネルはキャパシ
ティプランニングに役⽴ちます。
このビューでの結果の解釈
このビューの物理メモリー使⽤状況について:Linux の場合、OS は空いている物理メモリーを使って、ファイル
システムのリソースをキャッシュします。ただし、このようなメモリーは緩くロックされているため、優先度の⾼
いプロセスで必要となった場合には、メモリーが解放されてしまいます。DMC レポートでは、このように緩く
ロックされているメモリーの容量が識別されません。
[デプロイ全体の中央値ディスク使⽤状況] パネルでは、各 Splunk Enterprise インスタンスが使⽤しているす
べてのパーティションが考慮されます。
このビューで注⽬する事項
このビューの共通のテーマは、インスタンスが値の範囲ごとにグループ化されることです。注⽬すべき事項の 1
つは外れ値です (他のインスタンスとは異なっているインスタンス)。もう 1 つは、時間とともに現れるパターン
です。
このビューのトラブルシューティング
履歴パネルは、イントロスペクションのログからデータを取得します。パネルがブランク、またはインデクサー以
外からの情報がない場合は、以下を確認してください。
イントロスペクションのログをインデクサーに転送していること
プラットフォーム環境計測データに関するシステム要件
KV ストア:インスタンス
このトピックでは、分散管理コンソールの [KV ストア:インスタンス ] ダッシュボードについて参照することが
できます。上記の「 分散管理コンソールについて」を参照してください。
14
このビューに表⽰される内容
分散管理コンソール(DMC)のインスタンスレベルの KV ストアビューには、App キーバリューストアを実⾏す
る単⼀の Splunk Enterprise インスタンスのパフォーマンス情報が表⽰されます。分散デプロイでDMC を設定し
た場合、表⽰するデプロイのインスタンスを選択することができます。
Performance metrics
コレクションの測定基準は、/services/server/introspection/kvstore/collectionstatsREST エンドポイントでのデー
タの履歴レコードである_introspection インデックス内の KVStoreCollectionStats コンポーネントで⽣成されま
す。測定基準は以下の通りです。
アプリケーションコレクションが所属しているアプリケーション
コレクションKV ストア内のコレクション名
オブジェクト数コレクション内に保存されているデータオブジェクト数
⾼速化コレクションに設定されている⾼速化の数注意: これらはパフォーマンスやサーチの⾼速化に使⽤さ
れる従来のデータベース型のインデックスです。
⾼速化サイズコレクションに設定されているインデックスのサイズ (MB)
コレクションのサイズコレクションに保存されているすべてのデータのサイズ (MB)
スナップショットは、REST エンドポイント経由で収集され、関連するイントロスペクションコンポーネントから
の最新情報を提供します。KV ストアインスタンスのスナップショットは、エンドポイント
/services/server/introspection/kvstore/serverstatusを使⽤します。
ロックの割合:システムがグローバル読み取りまたは書き込みロックを保持した KV ストアのアップタイム
の割合。ロックの割合が⾼いと、全体に影響が及びます。この場合、複製の停滞、アプリケーション呼び出
しの遅延、タイムアウト、または失敗が発⽣する可能性があります。
ページフォルトの割合:ページフォルトになった KV ストア操作の割合。割合が 1 に近いほど、システムパ
フォーマンスが低下していることになります。これは、メモリ内のデータストアに効率的にアクセスするの
ではなく、KV ストアがディスク I/O のフォールバックを強制されているために発⽣する継続的な停滞を⽰
す代表的なサインです。
メモリー使⽤状況:KV ストアが使⽤中の常駐/マップ済み/仮想メモリの容量。通常、仮想メモリの使⽤量
は KV ストアにマップされたメモリの 2 倍です。仮想メモリの使⽤量がマップされたメモリーの 3 倍を超
える場合は、メモリーリークの可能性があります。
ネットワークトラフィック:KV ストアネットワークトラフィックの合計⼊出量 (MB)。
フラッシュの割合:KV ストアがディスクへのすべての書き込みをフラッシュするために必要とする時間の
割合。1 に近いほど、ディスクへの書き込みが困難、または継続的に⼤量の書き込み操作が⾏われているこ
とになります。OS によっては、データのフラッシュに 60 秒かからない場合もあります。この場合、書き
込み上のボトルネックがあっても、この値が⼩さくなる可能性があります。
操作:KV ストアに対して発⾏された操作数。コマンド、更新、クエリ、削除、取得、挿⼊などが挙げられ
ます。イントロスペクションのプロセスでは、KV ストアの統計情報を配信するためにコマンドが発⾏され
るため、通常は他の⼤半の操作よりもコマンド数が多くなります。
現在の接続:KV ストアで開かれている接続数。
キューの合計:ロック待ちでキューされている操作の合計。
合計アサート:KV ストアが⾏ったアサート数の合計。値が負でない場合は、KV ストアのログをチェックす
る必要があります。
履歴
このセクションの統計情報の多くは、[スナップショット ] セクションに表⽰されます。[履歴 ] ビューには⼀定期
間の測定基準の傾向情報が表⽰されます。これらの統計情報は KVStoreServerStats に収集されます。[履歴 ] パ
ネルには、デフォルトで過去 4 時間の情報が表⽰されます。このセクション内のグラフにギャップがある場合、
通常はその時点で KV ストアまたは Splunk Enterprise と通信できなかったことを⽰しています。
メモリー使⽤状況 - 上記を参照。
複製遅延:プライマリ OpLog に記録されている最後の操作とセカンダリノードに適⽤された最後の操作間
の時間。プライマリ opLog ウィンドウを超えた複製遅延が発⽣すると、複製セットのすべてのノードで
データが正しく複製されない場合があります。複製を⾏わないスタンドアロンのインスタンスでは、このパ
ネルに結果は表⽰されません。注意: 複製遅延は _introspection インデックス内の
KVStoreReplicaSetStats コンポーネントに収集されます。
操作数(分単位の平均) - 上記を参照。このパネルには、個々の操作タイプ (コマンド、更新、削除など) ま
たはすべての操作に関する情報が表⽰されます。
アサート - 上記を参照。このパネルでは、アサートのタイプ (メッセージ、レギュラー、ロールオーバー、
ユーザー、警告)に基づいてフィルタリングを⾏うことができます。
ロックの割合:システムがグローバル、読み取りまたは書き込みロックを保持している KV ストアのアップ
タイムの割合。このパネルはロックの種類ごとにフィルタリングします。
読み取り:読み取り操作のために⾏われるロック。
書き込み:書き込み操作のために⾏われるロック。KV ストアロックは「書き込み中⼼」のため、コレ
クションでは書き込みロックがロック全体の⼤半を占めることがあります。
グローバル:グローバルシステムによって⾏われるロック。KV ストアではコレクションレベルのロッ
クが実⾏されるため、グローバルロックを積極的に使⽤する必要性が削減されます。
合計操作数の割合としてのページフォルト - 上記を参照。
ネットワークトラフィック - 上記を参照。このパネルに追加されているのは、KV ストアに対して⾏われた
リクエストです。
キューの推移:以下の項⽬で分類されたキュー数。
読み取り:読み取りロックの解除待ちの読み取り操作数。
書き込み:書き込みロックの解除待ちの書き込み操作数。
合計:
接続の推移
ディスクのフラッシュに費やされたそれぞれの時間の割合 - 上記を参照。
もっとも遅い操作。選択された時間内で KV ストアに記録されている最も遅い操作の上位 10 件。すべての
コレクションに対してプロファイリングをオフにすると、⾮常に遅い操作を実⾏している場合でも結果が表
15
⽰されません。collections.conf でコレクションごとにプロファイリングを有効にしてください。
Where does this view get its data from?
KV ストアは、_introspection インデックス内のデータを収集します。
これらの統計情報は、以下のコンポーネントに分類されます。
KVStoreServerStats:KV ストアの全体的なプロセスの実⾏に関する情報。27 秒ごとにポーリングされま
す。
KVStoreCollectionStats:KV ストア内でのコレクションに関する情報。10 分ごとにポーリングされます。
KVStoreReplicaSetStats:KV ストアインスタンス全体での複製データに関する情報。60 秒ごとにポーリ
ングされます。
KVProfilingStats:遅い操作に関する情報。5 秒ごとにポーリングされます。プロファイリングが有効に
なっている場合に使⽤できます。注意: プロファイルは開発システム上、またはデフォルトのパネルでは分
からない KV ストアのパフォーマンスに関する問題のトラブルシューティングの⽬的でのみ有効にしてくだ
さい。プロファイリングはシステムのパフォーマンスに悪影響を与える可能性があるため、実際の運⽤環境
では有効にしないでください。
また、KV ストアは Splunk Enterprise が収集するさまざまな内部ログでエントリを⽣成します。
このビューでの結果の解釈
パフォーマンスのインジケータと⾚いフラグに関する情報については、本マニュアルの「KV ストア:デプロイ」
を参照してください。
このビューのトラブルシューティング
履歴パネルは、イントロスペクションのログからデータを取得します。通常、このセクションのグラフに時間の
ギャップがある場合は、その時点で KV ストアまたは Splunk Enterprise と通信できなかったことを⽰していま
す。パネルが完全にブランク、または特定の Splunk Enterprise インスタンスからのデータがない場合は、以下
を確認してください。
イントロスペクションのログをインデクサーに転送していること
プラットフォーム環境計測データに関するシステム要件
KV ストア:デプロイ
このトピックでは、分散管理コンソールの [KV ストア:デプロイ ] ダッシュボードについて参照することができ
ます。上記の「 分散管理コンソールについて」を参照してください。
このビューに表⽰される内容
分散管理コンソール(DMC)の [KV ストア:デプロイ ] ビューには、Splunk Enterprise のデプロイ内のすべ
ての KV ストアで集計された情報が表⽰されます。このビューでインスタンスを表⽰するには、[KV ストア ]の
サーバーロールを設定する必要があります。この設定は DMC の [設定 ] ページで⾏います。
このビューと [KV ストア:インスタンス] ビューは、ほぼ同じ情報を追跡します。ただし、このデプロイビュー
は KV ストアから統計情報を収集し、さまざまな測定基準の値でグループ分けされたインスタンスを表⽰します。
個々のダッシュボードと測定基準の定義とコンテキストについては、本章の「KV ストア:インスタンス」を参照
してください。
Performance Metrics
デプロイスナップショット
[デプロイスナップショット統計情報 ] は、/services/server/introspection/kvstore/serverstatus REST エンドポイ
ントにアクセスします。デプロイでの各 KV インスタンスについて、[デプロイスナップショット ] は以下の情報
を提供します。
インスタンスSplunk Enterprise インスタンス名
メモリー使⽤状況
キューの合計
現在の接続
操作あたりのページフォルト
ロック (%)
前回のフラッシュ (ミリ秒)
ネットワークトラフィック (MB)
アップタイム (時間)現在のインスタンスが再起動せずに動作している時間
複製ロール:複製セットでのインスタンスのロールインスタンスが複製セットに含まれない場合は、
「N/A」が返されます。
Where does this view get its data from?
KV ストアは、_introspection インデックス内のデータを収集します。
これらの統計情報は、以下のコンポーネントに分類されます。
KVStoreServerStats:KV ストアの全体的なプロセスの実⾏に関する情報。27 秒ごとにポーリングされま
16
す。
KVStoreCollectionStats:KV ストア内でのコレクションに関する情報。10 分ごとにポーリングされます。
KVStoreReplicaSetStats:KV ストアインスタンス全体での複製データに関する情報。60 秒ごとにポーリ
ングされます。
KVProfilingStats:遅い操作に関する情報。5 秒ごとにポーリングされます。プロファイリングが有効に
なっている場合に使⽤できます。注意: プロファイルは開発システム上、またはデフォルトのパネルでは分
からない KV ストアのパフォーマンスに関する問題のトラブルシューティングの⽬的でのみ有効にしてくだ
さい。プロファイリングはシステムのパフォーマンスに悪影響を与える可能性があるため、実際の運⽤環境
では有効にしないでください。
また、KV ストアは Splunk Enterprise が収集するさまざまな内部ログでエントリを⽣成します。
このビューの解釈
パネ
ル
クリティカル
1.3+
操作あ
たりの
ページ
フォル
ト
⼤量のディスク
I/O が必要とな
り、より多くの
RAM を消費する可
能性がある読み取
り
警告
0.7–1.3
定期的に
ディスク
I/O を必
要とする
読み取り
標準
説明
0-0.7
ディスク
I/O をほ
とんど必
要としな
い読み取
り
Splunk Enterprise がメモリ内に保有しているデータでは
対応できない読み取りリクエストの頻度の計測で、
Splunk Enterprise によるディスクの読み込みが必要
ロック 50%+
の割合
30%50%
0-30%
ロックの割合が⾼いと複製が正常に処理できなかったり、
アプリケーション呼び出しの遅延、タイムアウト、または
失敗の原因になる場合があります。通常、ロックの割合が
⾼い場合は、ノード上で⼤量の書き込みアクティビティが
発⽣しています。
ネット
ワーク
トラ
N/A
フィッ
ク
N/A
N/A
ネットワークトラフィックはシステムの使⽤状況およびア
プリケーションの想定と同等でなければなりません。デ
フォルトの閾値は適⽤されません。
複製待 >30 秒
ち時間
10-30 秒
0-10 秒
複製のニーズはシステムによって異なります。⼀般的に、
複製セットのメンバーは、KV キャプテンを⼤幅に下回っ
てはなりません。複製の待ち時間が 30 秒以上の場合、複
製のマウントに関して問題が発⽣している場合がありま
す。
プライ
マリ操
作ログ N/A
ウィン
ドウ
N/A
N/A
参考⽤:これは時間の観点からのデータ量で、復元⽤に操
作ログに保存されるシステムです。
フラッ
シュ
50%-100%
レート
10%50%
0-10%
⾼いフラッシュレートは、書き込み操作が重いか、システ
ムパフォーマンスが悪いことを⽰しています。
このビューのトラブルシューティング
履歴パネルは _introspection および _internal インデックスからデータを取得します。これらのパネルの時間に
ギャップがある場合は、その時点でKV ストアまたは Splunk Enterprise と通信できなかったことを⽰します。パ
ネルが完全にブランク、または特定の Splunk Enterprise インスタンスからのデータがない場合は、以下を確認
してください。
ログをインデクサーに転送していること
プラットフォーム環境計測データに関するシステム要件
サーチヘッドクラスタリングダッシュボード
このトピックでは、サーチヘッドクラスタリングに関連するすべての分類管理コンソールダッシュボードを参照す
ることができます。上記の「 分散管理コンソールについて」を参照してください。
ステータスと設定
[ステータスと設定 ] ダッシュボードには、サーチヘッドクラスタの概要が表⽰されます。これはハイレベルの情
報です。
過去のサーチ結果の複製
[過去のサーチ結果の複製] ダッシュボードには、複製する過去のサーチ結果に関するクラスタの「バックログ」を
表⽰する複数のパネルが含まれています。『分散サーチ』マニュアルの「サーチヘッドクラスタリングのアーキテ
クチャ」を参照してください。
[警告とエラーパターン ] パネルはメッセージ内のテキストに基づいて、警告やエラーイベントを分類します。こ
17
の分類機能ではクラスタコマンドが使⽤されます。
サーチヘッドクラスタが時間通りに過去のサーチ結果を複製している場合、複製待ちの過去のサーチ結果数 は 0
または 0 に近い値になります。ごく⼀部の複製待ちの過去のサーチ結果は、警告のサインでない可能性がありま
す。過去のサーチ結果数が常に多く、特にその数が増加している場合は、複製の問題が発⽣している可能性があり
ます。待ち状態の過去のサーチ結果が多い場合は、別のサーチヘッドを使⽤している⼈がローカルキャッシュにた
どり着けない可能性があり、サーチの有⽤性が低下することになります。
[複製する過去のサーチ結果の中央値 ] は (表⽰されている通り) 中央値です。つまり、スパイクを制限している
と、より広範な時間範囲でスパイクを確認できないことになります。
[過去のサーチ結果の複製ジョブアクティビティ ] パネルには複製ジョブの変更率が表⽰されます (具体的には
バックログの変更率)。クラスタがバックログに追い付いている場合、バックログの変更は負の値になる場合もあ
ります。このパネルの⾚いフラグは、絶えず増加しているバックログを⽰します (つまり、バックログの変更は常
に正の値)。この場合、上記の [複製する過去のサーチ結果の中央値 ] パネルに表⽰されるバックログは、継続的
に増加しています。
設定の複製
[設定の複製 ] ダッシュボードには、 SHC メンバーでユーザーが変更する設定やクラスタ全体に変更を伝える⽅法
に関する情報が表⽰されます。
アクションレファレンス:下記は[経過時間内 のアクション数] パネルと [経過時間内でアクションにかかった
時間 ] パネルで表⽰される低レベルのアクションです。これらのパネルはトラブルシューティングに役⽴ちます。
アクション
説明
accept_push
キャプテンで、メンバーからの複製された変更を承認します。
acquire_mutex
設定システムを「保護」するミューテックス (相互排除) を⼊⼿します。
add_commit
メンバーで、変更を記録します。
base_initialize
設定「root」を初期化します (例: $SPLUNK_HOME/ 等)。
check_range
設定変更の 2 つの範囲を⽐較します。
compute_common
メンバーとキャプテン間の直近の共通の変更を特定します。
pull_from
メンバーで、キャプテンから変更を取り出します。
purge_eligible
メンバーで、レポジトリから⼗分に古い変更をパージします。
push_to
メンバーで、キャプテンに変更をプッシュします。
release_and_reacquire_mutex 設定システムを「保護」するミューテックスをリリースした後で再⼊⼿しま
す。これは acquire_mutex と同様です。
reply_pull
キャプテンで、メンバーの pull_from リクエストに応答します。
repo_initialize
設定レポジトリを (ディスクから) 初期化します。
この情報は Splunk サポートによって活⽤されることを想定しています。設定の複製に問題がある場合、このダッ
シュボードで⼿掛かりを探すことができます。ただし、このダッシュボードは情報の獲得よりも、サポートケース
の記録後に情報を収集するために使⽤してください。
スケジューラーの委任
『分散サーチ』マニュアルの「サーチヘッドクラスタリングのアーキテクチャ」を参照してください。
[スケジューラーステータス ] パネルでは、max_pending と max_running が 30 秒の間、「ピーク」となること
に留意してください。これらは ペンディングまたは実⾏中のジョブの 30 秒間での最⼤数です。このパネルで複
数の機能の中から 1 つを選択できます。「最⼤」機能は、これらの統計値と直接的に機能します。ただし、「平
均値」、「中央値」、「90 パーセンタイル」の意味についても考察してください。たとえば、max_pending が
30 秒間で 4 の場合にその値を平均するとします。すると、全体の平均ではなく⾼い値の平均が出ます。そのた
め、ペンディング状態のジョブの数が⼤きく変動する場合は、平均の max_pending はペンディング状態のジョブ
数の単純な平均と異なる可能性があります。
App デプロイ
『Splunk Enterprise インスタンスの更新』マニュアルの「デプロイサーバーとフォワーダーの管理について」を
参照してください。
[App ステータス ] パネルに継続的に相違が表⽰される場合、それはデプロイヤーがメンバーに対して App のデ
プロイを終了していないことを⽰します。
これらのビューのトラブルシューティング
DMC のセットアップ⼿順をすべて完了してください。.
特に、
サーチヘッドとデプロイヤーからインデクサーにログを転送してください。「DMC の前提条件」を参照し
てください。
すべてのサーチヘッドクラスタリングダッシュボードについては、サーチヘッドを DMC のサーチピアとし
18
て設定する必要があります。
すべてのサーチヘッドクラスタリングダッシュボードには、サーチヘッドクラスタのメンバーが必要です。
「クラスタラベルの設定」を参照してください。App デプロイヤーにもラベルが必要なことに留意してくだ
さい。
App デプロイダッシュボードについては、
デプロイヤーが DMC のサーチピアでなければなりません。または、DMC をデプロイヤーでホストするこ
ともできます。「インスタンスをサーチピアとして追加」を参照してください。
デプロイヤーにはデプロイヤーロールが必要です (⾃動検出される場合があります)。これについては、[ 分
散管理コンソール ] > [ 設定 ] > [ ⼀般設定 ] へと進んで確認してください。
デプロイヤーは SHC のメンバーとして⼿動でラベリングする必要があります。(⾃動検出されません。)こ
れについては、[ 分散管理コンソール ]> [ 設定 ] > [ ⼀般設定 ] と進んで設定してください。
上記の通り、デプロイヤーはログを転送する必要があります。「DMC の前提条件」を参照してください。
インデクサークラスタリング:ステータス
このトピックでは、分散管理コンソールの [インデクサークラスタリング:ステータス ] ダッシュボードについ
て参照することができます。上記の「 分散管理コンソールについて」を参照してください。
このビューに表⽰される内容
このビューは、インデクサークラスタマスターのマスターダッシュボードに類似しています。『インデクサーとイ
ンデクサーのクラスタの管理』マニュアルの「マスターダッシュボードの表⽰」を参照してください。
このビューのトラブルシューティング
このダッシュボードでは、すべてのインデクサークラスタのデータが表⽰されるはずです。複数のインデクサーク
ラスターがあり、それらのデータが 1 つでも確認できない場合は、Splunk Enterprise デプロイ DMC のセット
アップ⼿順に従っているかを確認してください。具体的には、
すべてのクラスタのメンバであるサーチヘッドで DMC をホストしていること。
インデクサークラスタをラベリングしていること。
各クラスタマスタが DMC にサーチピアとして追加されていること。
インデクサークラスタリング:サービスアクティビティ
このトピックでは、分散管理コンソールの [インデクサークラスタリング:サービスアクティビティ ] ダッシュ
ボードについて参照することができます。上記の「 分散管理コンソールについて」を参照してください。
このビューに表⽰される内容
インデクサークラスタリングに関する複数のパネル
このビューでの結果の解釈
このダッシュボードのパネルには、データがまったく表⽰されない場合があります。データはバケツ修復アクティ
ビティが発⽣した場合にのみ表⽰されます。
これらのパネルは、Splunk Enterprise が実⾏しなければならない修復タスク(バックログ)がいくつあるかを特
定するのに役⽴ちます 。修復タスクは複数のジョブになる場合があります。
最後 2 つのパネルは、クラスタリングエンドポイントにヒットするまでにかかった時間を測定します。
Splunk サポートおよび/またはエンジニアリングはこのデータを確認し、クラスタマスターが⾏っているアク
ティビティのタイプをプロファイルする場合があります。
このビューで注⽬する事項
ピアが下がるなど、クラスタで予期しないイベントが発⽣した場合にこのビューを使⽤します。
タスクをペンディング状態にしないことが理想的です。
サーチ要因がマッチしない場合、サーチ結果は不完全になります。
⽣成がマッチしない場合、クラスタ全体がサーチ不可能になります。6.1 以降のクラスタではこれが発⽣しないと
想定されています。
イベントが発⽣した場合は、このダッシュボードからタスク (およびジョブ) の数が減少しているかどうかを確認
できます。クラスタに問題がない場合、これらのパネルには何も表⽰されません。
このビューのトラブルシューティング
DMC のセットアップ⼿順をすべて完了してください。.
特に、
サーチヘッドとデプロイヤーからインデクサーにログを転送してください。「DMC の前提条件」を参照し
てください。
すべてのインデクサークラスタリングダッシュボードには、インデクサークラスタのメンバーが必要です。
19
「クラスタラベルの設定」を参照してください。
インデックス作成:インデックスとボリュームのダッシュボード
このトピックでは、分散管理コンソールの [インデックス作成:インデックスとボリューム ] のすべてのダッ
シュボードについて参照することができます。上記の「 分散管理コンソールについて」を参照してください。
これらのビューが表⽰する内容
インデックスとボリュームのダッシュボードは、インデックス作成に関する 6 つの個別のダッシュボードで構成
されており、それぞれに複数のパネルがあります。
インデックスとボリュームのダッシュボードの全体では、インデックスでのディスクの使⽤状況を確認できます。
これらのビューでは、リソース使⽤状況ビューのデータの内訳が表⽰されます。
これらのビューでの結果の解釈
システムのストレージに余裕がない場合は、インデックスとボリュームのダッシュボードを確認します。このデー
タは、保存ポリシーを修正に役⽴てることができます。『インデクサーとインデクサーのクラスタの管理』の「イ
ンデクサーによるインデックスの保管⽅法」を参照してください。
これらのビューで注⽬する事項
[インデックスとボリューム:インスタンス ]ダッシュボードで、⻘でハイライトされているインスタンスはフ
ローズンに移⾏するバケツです。『インデクサーとインデクサーのクラスタの管理』の「インデクサーによるイン
デックスの保管⽅法」を参照してください。
フォワーダー:インスタンス
このトピックでは、分散管理コンソールの [フォワーダー:インスタンス ] ダッシュボードについて参照すること
ができます。上記の「 分散管理コンソールについて」を参照してください。
このビューに表⽰される内容
フォワーダーに関する複数のパネル
このビューでの結果の解釈
「出⼒データレート」と呼ばれる数量は、実際にはインデクサーがフォワーダー (metrics.log) から受信する⼊⼒
データです。
このビューのトラブルシューティング
パネルにデータの不⾜がある場合、分散またはスタンドアロンモードのいずれかで、DMC のセットアップ⼿順を
すべて完了しているかどうかを確認してください。すべての DMC ダッシュボードと同様、フォワーダーモニタ
リングのダッシュボードにはインデクサーの metrics.log が必要です。
フォワーダーダッシュボードのパネルを機能させるには、「フォワーダーモニタリングの設定」の設定⼿順に従う
必要があります。
また、フォワーダーダッシュボードの履歴パネルには、個別の GUID を備えるフォワーダーが必要です。
これらのパネルの平均値は、「データコレクションの間隔」 ([ DMC ] > [ 設定 ] > [ フォワーダーモニタリング
のセットアップ ] へと進んで定義) の少なくとも 1 つが経過するまで計算されません。
フォワーダー:デプロイ
このトピックでは、分散管理コンソールの [フォワーダー:デプロイ ] ダッシュボードについて参照することがで
きます。上記の「 分散管理コンソールについて」を参照してください。
このビューに表⽰される内容
フォワーダーに関する複数のパネル
このビューでの結果の解釈
「ステータス」 (「アクティブ」または「不明」の値になる可能性がある) に関する注意:スケジュール済みサー
チの実⾏では 15 分前まで履歴が追跡されます。直近の 15 分の間にフォワーダーがインデクサーに接続された場
合、ステータスは「アクティブ」になります。これは、スケジュール済みサーチを⾏う頻度にあたるデータコレク
ションの間隔(フォワーダーのセットアップ)とは異なります。たとえば、コレクションの間隔を 24 時間に設定
します。この場合、スケジュール済みサーチは 24 時間ごとに実⾏されるものの、チェックされるのは実⾏開始前
の 15 分間だけです。
このビューは assets.csv と呼ばれる内部ファイルのフォワーダーに関するデータを表⽰します。.csv ファイルの
データは蓄積されていきます。フォワーダーがインデクサーに接続すると、その記録が .csv ファイルに残りま
す。フォワーダーを削除しても、DMC がそのファイルからフォワーダーの記録を削除することはありません。こ
の場合は「不明」と表⽰されます。削除されたフォワーダーが「不明」と表⽰されるのを回避するには、フォワー
ダーのセットアップ で「フォワーダーアセットの再構築」をクリックします。こうしたアドホックサーチを実⾏
20
する⼀度限りのアセットファイルの追加については、個別の履歴追跡時間を選択できます。この選択によって、ス
ケジュール済みサーチの履歴追跡時間(15 分)やデータコレクションの間隔が変更されることはありません。
ステータスと設定パネル :スケジュール済みサーチが最後に完了した時間が表⽰されます。
このビューで注⽬する事項
フォワーダーが想定通りにレポートを作成しているかどうか確認してください。このダッシュボードは事前に設定
されたプラットフォームアラートとペアになっており、⼀つ以上のフォワーダーが⾒つからない場合に通知を受け
取ることができます。
このビューのトラブルシューティング
パネルにデータの不⾜がある場合、分散またはスタンドアロンモードのいずれかで、DMC のセットアップ⼿順を
すべて完了しているかどうかを確認してください。すべての DMC ダッシュボードと同様、フォワーダーモニタ
リングのダッシュボードにはインデクサーの metrics.log が必要です。
フォワーダーダッシュボードのパネルを機能させるには、「フォワーダーモニタリングの設定」の設定⼿順に従う
必要があります。
また、フォワーダーダッシュボードの履歴パネルには、個別の GUID を備えるフォワーダーが必要です。
これらのパネルの平均値は、「データコレクションの間隔」 ([ DMC ] > [ 設定 ] > [ フォワーダーモニタリング
のセットアップ ] へと進んで定義) の少なくとも 1 つが経過するまで計算されません。
ライセンス
分散管理コンソール(DMC)の [ライセンス ] ビューには、ライセンス使⽤状況のレポートビューと同じ情報が表
⽰されます。ライセンスマスターからではなく DMC 経由でこのビューにアクセスする利点は、デプロイに複数
のライセンスマスターがある場合、情報を表⽰するライセンスマスターを DMC ビューで選択できることです。
このビューに表⽰される情報の詳細は、本マニュアルの「Splunk Enterprise ライセンス使⽤状況のレポート
ビューについて」を参照してください。
21