Splunk Enterprise の概要

S plu nk ® E nt er pr is e 6 . 5. 0
S plu nk E nt er pr is e の概要
作成⽇時：9/26/2016 10:27 pm
Copyright (c) 2016 Splunk Inc. All Rights Reserved
T abl e o f C o nt e nt s
はじめに
このマニュアルの内容
3
3
Sp l u n k En te r p r ise について
Splunk Enterprise について
Splunk Enterprise のユーザーについて
Splunk Enterprise のデプロイについて
3
3
4
4
Sp l u n k En te r p r ise のリソースとドキュメント
製品リソース
Splunk Enterprise の管理
サーチとレポート
ナレッジの管理
Splunk Enterprise のカスタマイズと拡張
トラブルシューティング
5
5
6
7
9
9
10
はじめに
このマニュアルの内容
このマニュアルには、2 種類の⽬的があります。
Splunk Enterprise およびそのユーザーの技術的な概要を説明していきます。Splunk Enterprise の機能
と、デプロイ環境を構成するコンポーネントについて取り上げています。
⽬的の作業に応じて適切なドキュメントを探すために役⽴つ情報を記載しています。
Spl unk Ent e r pr is e について
S pl u nk E nt er pr ise について
Splunk Enter pr i s e とは
Splunk Enterprise は、お客様の IT インフラ/ビジネスを構成する、Web サイト、アプリケーション、セン
サー、デバイスなどから収集された、マシン⽣成データをサーチ、分析、視覚化するための、ソフトウェアプラッ
トフォームです。
データソースを定義すると、そのデータからインデックスが作成され、それを表⽰、サーチが可能な⼀連のイベン
トに変換するように、パーシングが⾏われます。
サーチ処理⾔語または対話型のピボット機能を使って、レポートや視覚エフェクトを作成できます。
Splunk Enter pr i s e の機能
Splunk Enterprise の主な 7 つの機能を以下の表に⽰します。その他の機能については、Splunk.com をご覧く
ださい。
機能
説明
インデックス作成
マシンデータのインデックスを作成します。IT インフラを構成する、パッケージ製品や
独⾃のアプリケーション、アプリケーションサーバー、Web サーバー、データベー
ス、ネットワーク、仮想マシン、通信機器、オペレーティングシステム、センサーなど
からのデータを処理できます。可能な最⼤インデックス作成量は、Splunk Enterprise
ライセンスによって異なります。
データモデル
データモデルは 1 つまたは複数のデータセットに関する、意味的ナレッジのサーチ時
マッピングで、階層構造になっています。データセットに対するさまざまな特殊サーチ
を作成するために必要な、ドメインナレッジをエンコードします。これらの特殊サーチ
は、Splunk Enterprise がピボットユーザー向けのレポートを⽣成するために⽤いられ
ます。データモデルのオブジェクトは、Splunk Enterprise がインデックスを作成した
データセット内の、それぞれが異なるサブセットを表しています。
ピボット
ピボットは、ピボットエディタを使って作成した、テーブル、グラフ、または視覚エ
フェクトです。ピボットエディタを利⽤すれば、データモデルオブジェクトが定義する
属性を、テーブルやグラフなどのデータ視覚エフェクトに関連付けることができます。
複雑なサーチを作成する必要はありません。ピボットをレポートとして保存して、ダッ
シュボードに追加することができます。
サーチ
サーチは Splunk Enterprise でユーザーがデータを探索するための、主な⼿段です。
サーチを作成して、インデックスからイベントを取得することができます。統計コマン
ドを使って測定基準を算出し、レポートを⽣成できます。時間の経過に伴って⼀定期間
(範囲) に発⽣した特定の条件をサーチできます。またデータ内のパターンを識別し、将
来的な傾向を予測することもできます。サーチはレポートとして保存して、ダッシュ
ボードのパネルとして使⽤することができます。
アラート
アラートは、履歴サーチまたはリアルタイムサーチで、サーチ結果が特定の条件を満た
した場合に⽣成されます。アラート⽣成時に、アラート情報を特定のメールアドレスに
送信、RSS フィードにアラート情報を投稿、カスタムスクリプトの実⾏ (syslog にア
ラートイベントを投稿するなど) などの処理を⾏うように、アラートを設定することが
できます。
レポート
レポートは保存済みサーチやピボットです。レポートは任意の時点で実⾏することも、
定期的に実⾏するようにスケジュールすることもできます。また、実⾏結果が特定の条
件を満たした場合に、アラートを⽣成するようにスケジュール済みレポートを設定する
こともできます。レポートは、ダッシュボードにパネルとして追加できます。
ダッシュボード
ダッシュボードは、サーチボックス、フィールド、グラフ、テーブル、フォームなどの
モジュールを⼊れることができるパネルから構成されています。通常、ダッシュボード
のパネルは保存済みサーチと関連付けられています。これには、完了したサーチの結果
やバックグラウンドで⾛らせたリアルタイムサーチの結果を表⽰することができます。
3
Splunk Enter pr i s e クイックリファレンスガイドのダウンロード
Splunk Enterprise クイックリファレンスガイド (バージョン 6.3.0 で更新) は、PDF ファイルで利⽤できます。
これは 6 ページのリファレンスカードで、Splunk Enterprise の機能、概念、サーチコマンド、およびサーチの
例が記載されています。
S pl u nk E nt er pr ise のユーザーについて
Splunk Enterprise は、さまざまなタイプのユーザーにサービスを提供します。Splunk Enterprise を使⽤する
ユーザーは、主に 5 種類に分類できます。
ユーザー
管理者
役割
ネットワークエン
ジニア、システム
管理者
ナレッジマネー
ジャー
データアナリス
ト、システム管理
者
サーチユーザー
データアナリス
ト、IT プロフェッ
ショナル、ネット
ワークエンジニ
ア、セキュリティ
アナリスト、シス
テム管理者
ピボットユーザー
開発者
ビジネスプロ
フェッショナル、
データアナリス
ト、IT プロフェッ
ショナル、マネー
ジャー、システム
管理者
システムインテグ
レータ、プロ
フェッショナルの
開発者
作業
Splunk Enterprise デプロイ環境の設定、管理、最適化、
および保護を⾏います。
ユーザーアカウントと権限を設定します。
Splunk Enterprise にデータを取り込みます。
チーム、部⾨、およびデプロイ環境にまたがって、ナレッ
ジオブジェクトの作成、正規化、および使⽤を管理しま
す。
データを Splunk Enterprise に取り込む、または管理者と
連携して作業を⾏います。
データモデルを作成、共有します。
サーチを使ってサーバーの問題の調査、設定の理解、ユー
ザーアクティビティのモニター、および問題のトラブル
シューティングを⾏います。
レポートやダッシュボードを作成して、IT インフラのヘル
ス、パフォーマンス、アクティビティ、およびキャパシ
ティをモニターします。
問題の兆候や繰り返し発⽣する問題のパターンや傾向を特
定します。
ピボットを使って、ナレッジマネージャーが作成したデー
タモデルに基づいて、レポートを作成します。
ビジネスをモニターするレポートとダッシュボードを作成
します。
ビジネスのヘルス状態とパフォーマンスの傾向を判別しま
す。
アプリケーションのデータと機能を Splunk Enterprise と
統合します。
カスタムのダッシュボードや視覚エフェクトを使って、
Splunk App やアドオンを作成します。
S pl u nk E nt er pr ise のデプロイについて
Splunk Enter pr i s e と IT インフラ
Splunk Enterprise は、ご利⽤の IT インフラを構成するサーバー、アプリケーション、データベース、ネット
ワーク機器、仮想マシンなどからのデータのインデックスを作成します。データを⽣成するマシンがご利⽤のネッ
トワーク上に存在している限り、任意の場所のマシンからデータを収集することができます。ローカル (社内の
サーバールームにあるマシンなど)、リモート (社外のデータセンターにあるマシンなど)、またはハイブリッド環
境 (社内マシンとクラウドにあるデータ) など、さまざまな環境にあるマシンからデータを収集できます。
⼤部分のユーザーはブラウザを使って Splunk Enterprise にアクセスします。また、Splunk W eb を使ってデ
プロイ環境の管理、ナレッジオブジェクトの作成と管理、サーチの実⾏、ピボットやレポートの作成などの作業を
⾏います。また、コマンドラインインターフェイスを使って、Splunk Enterprise デプロイ環境を管理することも
できます。
Splunk Enterprise は、複数ユーザー/分散製品アーキテクチャをサポートしています。そのため、単⼀のデータ
センター内、または複数のデータセンター/クラウド環境にまたがってデプロイされた、複数の Splunk
Enterprise のデータを対象に、サーチを実⾏したり、レポートを作成したりすることができます。
Splunk Enter pr i s e のコンポーネント
4
コンポーネント
説明
App
App は、設定情報、ナレッジオブジェクト、および独⾃設計のビューやダッシュボード
の集合体です。App は Splunk Enterprise 環境を拡張し、UNIX/Windows システム
管理者、ネットワークセキュリティ担当者、Web サイト管理者、ビジネスアナリスト
など、組織内の各チームのニーズに合わせた多彩な機能を提供しています。単⼀の
Splunk Enterprise で、複数の App を同時実⾏することができます。
フォワーダー
フォワーダーは、データを他の Splunk Enterprise インスタンス (インデクサーまたは
他のフォワーダー) またはサードパーティ製システムに転送する Splunk Enterprise イ
ンスタンスです。⼤部分のフォワーダーは軽量のインスタンスで、最⼩限のリソースを
活⽤してデータを作成するマシンをサポートします。
インデクサー
インデクサーは、データのインデックスを作成する Splunk Enterprise インスタンスで
す。通常は⼀連のフォワーダーグループからデータを受け取ります。インデクサーは
データをイベントに変換し、それをインデックスに保管します。また、サーチリクエス
トに応じて、インデックスデータをサーチします。
分散サーチデプロイ環境では、サーチピアと呼ばれる複数のインデクサーを使⽤するこ
ともあります。
⾼データ可⽤性とデータ損失防⽌、また単に複数のインデクサーを管理を簡素化するた
め、インデクサークラスタに複数のインデクサーをデプロイすることができます。
サーチヘッド
サーチヘッドは分散サーチデプロイ環境でサーチ管理を担当し、サーチリクエストを⼀
連のインデクサーに割り当てて、その結果をまとめてユーザーに返す Splunk
Enterprise インスタンスです。単⼀インスタンスデプロイでは、1 つのインスタンスが
サーチヘッドとインデクサーとして機能します。
⾼データ可⽤性と⽔平スケーリングの簡素化のため、サーチヘッドクラスタに複数の
サーチヘッドをデプロイすることができます。
これらのコンポーネントと分散環境におけるその役割については、『分散デプロイ』マニュアルの「Splunk
Enterprise コンポーネントを活⽤したデプロイのスケーリング」を参照してください。
Spl unk Ent e r pr is e のリソースとドキュメント
製品リソース
このトピックは、ドキュメント、教育、コミュニティなどの、Splunk Enterprise や他の Splunk 製品に関する
情報を探すために役⽴つリソースの概要を説明しています。
ドキュメント
⽬的
Splunk Enterprise
参照箇所
Splunk Enterprise の設定および使⽤に関する情報は、Splunk Enterprise
ドキュメントに記載されています。Splunk Enterprise ドキュメントの以下
のトピックに、有益な情報が記載されています。
Splunk Enterprise の管理
サーチとレポート
ナレッジの管理
Splunk Enterprise のカスタマイズと拡張
トラブルシューティング
Splunk 製品
Splunk 製品には、Splunk Enterprise、Splunk Cloud、および Splunk
Light が含まれます。各 Splunk 製品には、独⾃のドキュメントセットが⽤
意されています。Splunk.com を参照してください。
Splunkbase
各 App には、独⾃のドキュメントが⽤意されています。⼀般的に、App の
ドキュメントは、その App のダウンロードページにリンクが記載されてい
るか、または App のダウンロードパッケージに同梱されています。Splunk
がサポートしている App の場合、その App のドキュメントは Splunk のド
キュメントサイトにのみ⽤意されています。
Splunk SDK
Splunk SDK は、Splunk for Developers サイトで提供されています。ここ
には、各 Splunk SDK に関する情報、チュートリアル、および例が記載さ
れています。SDK のモジュールライブラリや他の参考資料については、
Splunk ドキュメントサイトを参照してください。
5
教育
⽬的
参照箇所
Splunk Education
Splunk トレーニングクラスおよび認定
ビデオチュートリアル
Splunk Education ビデオ
コミュニティ
⽬的
参照箇所
Splunk Answers
ドキュメントに⽬的の情報が記載されていない場合は、Splunk Answers を
ご覧ください。コミュニティからのコメントが記載されています。また、新
たに質問することもできます。
#splunk
efnet の IRC サーバーにログインして、Splunk 開発者、Splunk サポー
ト、および他の Splunk コミュニティのメンバーとチャットすることができ
ます。
S pl u nk E nt er pr ise の管理
このトピックは、管理者が⾏う作業、およびその⽅法を学習するためのマニュアルやトピックを記載しています。
Splunk Enter pr i s e のインストールとアップグレード
『Installation Manual』は、Splunk Enterprise のインストールおよびアップグレード⽅法について説明してい
ます。
作業：
参照先：
インストール要件の理解
インストールのプランニング
必要なハードウェア容量の⾒積もり
ハードウェア要件の⾒積もり
Splunk Enterprise のインストール
Windows への Splunk Enterprise のインストール
Unix、Linux、または MacOS への Splunk のインス
トール
Splunk Enterprise のアップグレード
以前のバージョンからのアップグレード
バックアップの実⾏
設定情報のバックアップ
インデックス作成されたデータのバックアップ
リタイア/アーカイブポリシーの設定
Splunk Enter pr i s e へのデータの取り込み
『データの取り込み』には、外部データソースからのデータの取り込み、データ価値の向上など、Splunk への
データの取り込みに関する情報が記載されています。
作業：
参照先：
外部データの取り込み⽅法の学習
Splunk Enterprise へのデータの取り込み
ファイルおよびディレクトリからのデータ取り込みの
設定
ファイルやディレクトリからデータを収集
ネットワークからのデータ取り込みの設定
ネットワークイベントの取得
Windows からのデータ取り込みの設定
Windows データの取得
その他のデータ取り込みの設定
その他のデータの取得
データ価値の向上
イベント処理の設定
タイムスタンプの設定
インデックスフィールド抽出の設定
ホスト値の設定
ソースタイプの設定
イベントのセグメント分割の管理
インデックス作成後のデータ
[ソースタイプの設定] ページ
プロセスの改善
テスト⽤インデックスを使って⼊⼒をテストする
データパイプライン
Splunk Enterprise 内でのデータの移動：データパイ
プライン
インデックスとインデクサーの管理
6
『インデクサーとクラスタの管理』は、インデックスの設定⽅法について説明しています。また、インデックスを
保持するコンポーネントである、インデクサーとインデクサーのクラスタの管理⽅法についても説明しています。
作業：
参照先：
インデックス作成についての学習
インデックスの概要
インデックスの管理
インデックスの管理
インデックスストレージの管理
インデクサーによるインデックスの保管⽅法
インデックスのバックアップ
インデックス作成されたデータのバックアップ
インデックスのアーカイブ
リタイアおよびアーカイブポリシーの設定
クラスタとインデックスレプリケーションについての
学習
クラスタとインデックスレプリケーションについて
クラスタのデプロイ
クラスタのデプロイ
クラスタの設定
クラスタの設定
クラスタの管理
クラスタの管理
クラスタアーキテクチャについての学習
クラスタの仕組み
Splunk Enter pr i s e 環境の拡張
『分散デプロイ』マニュアルは、フォワーダー、インデクサー、サーチヘッドなどの複数のコンポーネントに
Splunk Enterprise の機能を分散する⽅法について説明しています。関連マニュアルに、分散コンポーネントの詳
細が記載されています。
『データの転送』マニュアルは、フォワーダーについて説明しています。
『分散サーチ』マニュアルは、サーチヘッドについて説明しています。
『Splunk コンポーネントの更新』マニュアルは、デプロイ環境を管理するための、デプロイサーバーの使
⽤とフォワーダーの管理⽅法について説明しています。
作業：
参照先：
分散 Splunk Enterprise についての学習
分散 Splunk Enterprise の概要
Splunk デプロイのキャパシティプランニング
ハードウェア要件の⾒積もり
データの転送⽅法の学習
データ転送
複数のインデクサーにまたがった分散サーチ
複数インデクサーに対するサーチ
デプロイの更新
環境全体への設定更新のデプロイ
Splunk Enter pr i s e の保護
『Splunk のセキュリティ』は、Splunk デプロイ環境のセキュリティについて説明しています。
作業：
参照先：
ユーザーの認証とロールの編集
ユーザーおよびロールベースのアクセス制御
SSL による Splunk データの保護
セキュリティ認証と暗号化
Splunk Enterprise の監査
Splunk Enterprise を使ったシステムアクティビティ
の監査
Splunk Enterprise でのシングルサインオン (SSO) の
使⽤
シングルサインオンの設定
Splunk Enterprise での LDAP の使⽤
LDAP によるユーザー認証の設定
サーチとレポート
[サーチとレポート] App を使って、データのサーチ、データモデルとピボットの作成、サーチやピボットのレ
ポートとしての保存、アラートの設定、ダッシュボードの作成などの作業を⾏えます。
サーチ
『サーチマニュアル』は、サーチ⽅法およびサーチ処理⾔語 (SPL) の使⽤⽅法について説明しています。サーチ
コマンドとその構⽂、説明や例については、『サーチリファレンス』を参照してください。
作業：
参照先：
初めて Splunk Enterprise を使⽤するため、サーチの
実⾏⽅法およびサーチ処理⾔語の使⽤⽅法を学習
『サーチチュートリアル』を参照
サーチ処理⾔語の詳細の学習
サーチの開始
サーチ⾔語について
7
SPL 構⽂の理解
変換コマンドとサーチについて
リアルタイムサーチとレポートについて
特定のサーチコマンドまたは関数を探す
コマンドクイックレファレンス
カテゴリ別サーチコマンド
評価関数
統計およびグラフ関数
サーチジョブの管理
ジョブとジョブ管理について
サーチジョブのプロパティの表⽰
ピボットの作成
『ナレッジ管理』マニュアルには、データモデルエディタを使ったデータモデルの設計と構築⽅法を説明したセク
ションがあります。『ピボット』マニュアルは、ピボットテーブルおよびグラフの作成⽅法を説明しています。
作業：
参照先：
初めて Splunk Enterprise を使⽤するため、データモ
デルおよピボットについて学習
ピボットチュートリアル
データモデルの詳細および作成⽅法について学習
データモデルについて
ピボットの詳細と、ピボットエディタを使ったテーブ
ルとグラフの設計⽅法を学習
ピボットマニュアル
レポート
レポートとレポート管理の詳細については、『レポート』マニュアルを参照してください。
作業：
参照先：
サーチコマンドを使ってレポートを⽣成
変換コマンドとサーチについて
利⽤できる各種視覚エフェクトについて学習 (テーブ
ル、グラフ、イベントリスト、その他)
ダッシュボードと視覚エフェクト
視覚エフェクトのデータ構造要件
サーチやピボットのレポートとしての保存
レポートの作成と編集
レポートの⾼速化
レポートの⾼速化
レポート⾼速化の要件の理解
レポートのスケジュール
レポートのスケジュール
レポートの PDF を⽣成
レポートとダッシュボードの PDF の⽣成
アラート
アラートの作成およびディスパッチについては、『アラート』マニュアルを参照してください。
作業：
参照先：
アラートについての学習
アラートについて
メール通知、RSS 通知、またはアラートスクリプトの
設定
アラートアクションの設定
アラートの例を参照
アラートの例
最近⽣成されたアラートを参照
⽣成されたアラートをアラート管理で確認
設定ファイルを使ったアラートの設定
savedsearches.conf 内のアラート設定
ダッシュボードと視覚エフェクトの作成
作業：
ダッシュボードの作成と編集についての学習
利⽤できる各種視覚エフェクトについて学習 (テーブ
参照先：
ダッシュボードの概要
視覚エフェクトリファレンス
8
ル、グラフ、イベントリスト、その他)
デフォルトのアクティビティとサマリーダッシュボー
ドについて学習
Splunk のデフォルトダッシュボード
Splunk Web フレームワークの学習
Splunk Web フレームワークの概要
ナレッジの管理
これらの表は、イベント、フィールド、ルックアップ、およびデータモデルなどの、ナレッジオブジェクトを理
解、管理するためのトピックを記載しています。
Splunk Enter pr i s e のナレッジ
作業：
Splunk Enterprise のナレッジについて
参照先：
Splunk Enterprise のナレッジとは？
共通の情報モデルの理解と使⽤
ナレッジオブジェクトの管理
ナレッジオブジェクトの監視と編成
ナレッジオブジェクトの無効化または削除
イベントとイベントの処理
作業：
参照先：
イベント処理の設定
イベント処理の設定
イベントのセグメント分割の管理
イベントのセグメント分割の管理
イベントタイプについて
イベントとイベントタイプについて
Splunk Web でのイベントタイプの定義と管理
フィールドとフィールドの抽出
作業：
フィールドの概要
参照先：
フィールドについて
デフォルトフィールドの使⽤
複数値フィールドの設定
計算済みフィールドについて
フィールド抽出の概要と管理
フィールドについて
Splunk Enterprise がフィールドを抽出する時期
Splunk Enterprise の正規表現について
データモデルの作成
作業：
参照先：
データモデルとデータセットの学習
データモデルについて
データモデルとデータセットの管理
データモデルの管理
データモデルエディタの使⽤
データモデルデータセットの設定
S pl u nk E nt er pr ise のカスタマイズと拡張
開発者は、Splunk App を作成したり、他のツールやアプリケーションを Splunk Enterprise に統合したりする
ことができます。詳細は、以下のリンクを参照してください。
Splunk A pp の開発
作業：
参照先：
9
Splunk Web フレームワークの使⽤
Splunk Web フレームワークの概要
Splunk Web フレームワークの例を参照
Splunk Web フレームワークのコードの例
Splunk Web フレームワークのコンポーネントを
参照
Splunk Web フレームワークのコンポーネントリファレ
ンス
Splunk R EST A P I の使⽤
開発者は Splunk REST API を使って、任意のアプリケーションから Splunk Enterprise 内のデータのインデッ
クス作成、サーチ、視覚化を⾏うことができます。
作業：
参照先：
Splunk REST API について
Splunk REST API の概要
Splunk REST API の使⽤⽅法の学習
REST API チュートリアル
ログの概要
Splunk を使ったログの改善⽅法について
ログのベストプラクティス
REST API リファレンスを参照
REST API リファレンス
Splunk SD K のダウンロードとインストール
Splunk SDK に関する情報は、Splunk for Developers サイトと Splunk ドキュメントサイトを参照してくださ
い。
作業：
参照先：
Splunk SDK の詳細を学習
Splunk SDK の概要
Splunk SDK のコードライブラリと例を参照
Splunk SDK リファレンス
Splunk Enter pr i s e の機能拡張
開発者は、サーチ⾔語を拡張して、独⾃の処理や計算を⾏ったり、データ⼊⼒をカスタマイズすることができま
す。
作業：
参照先：
カスタムサーチコマンドの作成
設定でのサーチマクロの定義
サーチ⾔語の拡張
スクリプトアラートの設定
スクリプト⼊⼒の概要
カスタムデータ⼊⼒の管理
モジュール⼊⼒の概要
トラブルシューティング
『トラブルシューティング』マニュアルは、Splunk Enterprise を使ったアクティビティの分析と問題の診断⽅法
を説明しています。他のマニュアルを参照して、特定の情報を⼊⼿することもできます。たとえば、『サーチ』マ
ニュアルには、サーチパフォーマンスの改善⽅法に関する記事が記載されています。
作業：
新機能、既知の問題、修正された問題などの情報を学
習
参照先：
このバージョンの新機能
このリリースの既知の問題
Splunk Enterprise トラブルシューティングツールに
ついての学習
Splunk Enterprise トラブルシューティングの概要
btool を使った設定のトラブルシューティング
Splunk App での Splunk の使⽤
プラットフォーム情報フレームワークの使⽤
プラットフォームインストルメンテーションフレーム
ワークについて
10
Splunk Enterprise ログファイルについて
Splunk Enterprise ログとは
metrics.log について
サーチパフォーマンスのトラブルシューティング
より良いサーチの作成
サーチジョブのプロパティの表⽰
ライセンス違反のトラブルシューティング
ライセンス違反について
ライセンス使⽤状況レポートビューの使⽤
11

Download Report