Comments
Transcript
Splunk Enterprise 6.2.0 Splunk Enterprise の概要
Splunk Enterprise 6.2.0 Splunk Enterprise の概要 作成:2014 年 11 ⽉ 21 ⽇ 午後 4 時 16 分 Copyright (c) 2015 Splunk Inc. All Rights Reserved Table of Contents はじめに このマニュアルの内容 3 3 Splunk Enterpri se の概要について Splunk Enterprise の概要について Splunk Enterprise のユーザーについて Splunk Enterprise のデプロイについて 3 3 4 4 Splunk Enterpri se のリソースとドキュメント 製品リソース Splunk Enterprise の管理 サーチとレポート ナレッジの管理 Splunk Enterprise のカスタマイズと拡張 トラブルシューティング 5 5 6 7 9 9 10 はじめに このマニュアルの内容 このマニュアルには、2 種類の⽬的があります。 Splunk Enterprise の概要について: Splunk Enterprise およびそのユーザーの技術的な概要を説明して いきます。Splunk Enterprise の機能と、デプロイ環境を構成するコンポーネントについて取り上げていま す。 Splunk Enterprise のリソースとドキュメント: ⽬的の作業に応じて適切なドキュメントを探すために 役⽴つ情報を記載しています。 Splunk Enterprise の概要について Splunk Enterprise の概要について Splunk Enterprise とは Splunk Enterprise は、お客様の IT インフラ/ビジネスを構成する、Web サイト、アプリケーション、セン サー、デバイスなどから収集された、マシン⽣成データをサーチ、分析、視覚化するための、ソフトウェアプラッ トフォームです。 データソースを定義すると、そのデータからインデックスが作成され、それを表⽰、サーチが可能な⼀連のイベン トに変換するように、パーシングが⾏われます。 サーチ処理⾔語または対話型のピボット機能を使って、レポートや視覚エフェクトを作成できます。 Splunk Enterprise の機能 Splunk Enterprise の主な 7 つの機能を以下の表に⽰します。その他の機能については、Splunk.com をご覧く ださい。 機能 説明 インデックス作成 マシンデータのインデックスを作成します。IT インフラを構成する、パッケージ製品や 独⾃のアプリケーション、アプリケーションサーバー、Web サーバー、データベー ス、ネットワーク、仮想マシン、通信機器、オペレーティングシステム、センサーなど からのデータを処理できます。可能な最⼤インデックス作成量は、Splunk Enterprise ライセンスによって異なります。 データモデル データモデルは 1 つまたは複数のデータセットに関する、ナレッジをサーチ時マッピン グしたもので、階層構造になっています。それらのデータセットに対するさまざまな特 殊サーチを作成するために必要な、ドメインナレッジを符号化しています。これらの特 殊サーチは、ピボットユーザー向けのレポートを⽣成するために⽤いられます。データ モデルのオブジェクトは、Splunk Enterprise がインデックスを作成したデータセット 内の、それぞれが異なるサブセットを表しています。 ピボット ピボットは、ピボットエディタを使って作成した、テーブル、グラフ、または視覚エ フェクトです。ピボットエディタを利⽤すれば、データモデルオブジェクトが定義する 属性を、テーブルやグラフなどのデータ視覚エフェクトに関連付けることができます。 複雑なサーチを作成する必要はありません。ピボットをレポートとして保存して、ダッ シュボードに追加することができます。 サーチ サーチは Splunk Enterprise でユーザーがデータを探索するための、主な⼿段です。 サーチを作成して、インデックスからイベントを取得することができます。統計コマン ドを使って測定基準を算出し、レポートを⽣成できます。時間の経過に伴って⼀定期間 (範囲) に発⽣した特定の条件をサーチできます。またデータ内のパターンを識別し、将 来的な傾向を予測することもできます。サーチはレポートとして保存して、ダッシュ ボードのパネルとして使⽤することができます。 アラート アラートは、履歴サーチまたはリアルタイムサーチで、サーチ結果が特定の条件を満た した場合に⽣成されます。アラート⽣成時に、アラート情報を特定のメールアドレスに 送信、RSS フィードにアラート情報を投稿、カスタムスクリプトの実⾏ (syslog にア ラートイベントを投稿するなど) などの処理を⾏うように、アラートを設定することが できます。 レポート レポートは保存済みサーチやピボットです。レポートは任意の時点で実⾏することも、 定期的に実⾏するようにスケジュールすることもできます。また、実⾏結果が特定の条 件を満たした場合に、アラートを⽣成するようにスケジュール済みレポートを設定する こともできます。レポートは、ダッシュボードにパネルとして追加できます。 ダッシュボード ダッシュボードは、サーチボックス、フィールド、グラフ、テーブル、フォームなどの モジュールを⼊れることができるパネルから構成されています。通常、ダッシュボード のパネルは保存済みサーチと関連付けられています。これには、完了したサーチの結果 3 やバックグラウンドのリアルタイムサーチの結果を表⽰することができます。 Splunk Enterprise クイックリファレンスガイドのダウンロード Splunk Enterprise クイックリファレンスガイド (バージョン 6.1 で更新) は、PDF ファイルでのみ利⽤できま す。これは 6 ページのリファレンスカードで、Splunk Enterprise の機能、概念、サーチコマンド、およびサー チの例が記載されています。 Splunk Enterprise のユーザーについて Splunk Enterprise は、さまざまなタイプのユーザーにサービスを提供します。Splunk Enterprise を使⽤する ユーザーは、主に 5 種類に分類できます。 ユーザー 管理者 役割 ネットワークエン ジニア、システム 管理者 ナレッジマネー ジャー データアナリス ト、システム管理 者 サーチユーザー データアナリス ト、IT プロフェッ ショナル、ネット ワークエンジニ ア、セキュリティ アナリスト、シス テム管理者 ピボットユーザー 開発者 ビジネスプロ フェッショナル、 データアナリス ト、IT プロフェッ ショナル、マネー ジャー、システム 管理者 システムインテグ レータ、プロ フェッショナルの 開発者 作業 Splunk Enterprise デプロイ環境の設定、管理、最適化、 および保護を⾏います。 ユーザーアカウントと権限を設定します。 Splunk Enterprise にデータを取り込みます。 チーム、部⾨、およびデプロイ環境にまたがって、ナレッ ジオブジェクトの作成、正規化、および使⽤を管理しま す。 データを Splunk に取り込む、または管理者と連携して作 業を⾏います。 データモデルを作成、共有します。 サーチを使ってサーバーの問題の調査、設定の理解、ユー ザーアクティビティのモニター、および問題のトラブル シューティングを⾏います。 レポートやダッシュボードを作成して、IT インフラのヘル ス、パフォーマンス、アクティビティ、およびキャパシ ティをモニターします。 問題の兆候や繰り返し発⽣する問題のパターンや傾向を特 定します。 ピボットを使って、ナレッジマネージャーが作成したデー タモデルに基づいて、レポートを作成します。 ビジネスをモニターするレポートとダッシュボードを作成 します。 ビジネスのヘルス状態とパフォーマンスの傾向を判別しま す。 アプリケーションのデータと機能を Splunk Enterprise と 統合します。 カスタムのダッシュボードや視覚エフェクトを使って、 Splunk App やアドオンを作成します。 Splunk Enterprise のデプロイについて Splunk Enterprise と IT インフラ Splunk Enterprise は、ご利⽤の IT インフラを構成するサーバー、アプリケーション、データベース、ネット ワーク機器、仮想マシンなどからのデータのインデックスを作成します。データを⽣成するマシンがご利⽤のネッ トワーク上に存在している限り、任意の場所のマシンからデータを収集することができます。ローカル (社内の サーバー・ルームにあるマシンなど)、リモート (社外のデータセンターにあるマシンなど)、またはハイブリッド 環境 (社内マシンとクラウドにあるデータ) など、さまざまな環境にあるマシンからデータを収集できます。 ⼤部分のユーザーはブラウザを使って Splunk Enterprise にアクセスします。また、Splunk Web を使って、デ プロイ環境の管理、ナレッジオブジェクトの作成と管理、サーチの実⾏、ピボットやレポートの作成などの作業を ⾏います。また、コマンドラインインターフェイスを使って、Splunk Enterprise デプロイ環境を管理することも できます。 Splunk Enterprise は、複数ユーザー/分散製品アーキテクチャをサポートしています。そのため、単⼀のデータ センター内、または複数のデータセンター/クラウド環境にまたがってデプロイされた、複数の Splunk Enterprise のデータを対象に、サーチを実⾏したり、レポートを作成したりすることができます。 Splunk Enterprise のコンポーネント 4 コンポーネント 説明 App App は、設定情報、ナレッジオブジェクト、および独⾃設計のビューやダッシュボード の集合体です。App は Splunk Enterprise 環境を拡張し、UNIX/Windows システム 管理者、ネットワークセキュリティ担当者、Web サイト管理者、ビジネスアナリスト など、組織内の各チームのニーズに合わせた多彩な機能を提供しています。単⼀の Splunk Enterprise で、複数の App を同時実⾏することができます。 フォワーダー フォワーダーは、データを他の Splunk Enterprise インスタンス (インデクサーまたは 他のフォワーダー) またはサードパーティ製システムに転送する Splunk Enterprise イ ンスタンスです。 インデクサー インデクサーは、データのインデックスを作成する Splunk Enterprise インスタンスで す。インデクサーは raw データをイベントに変換し、それをインデックスに保管しま す。また、サーチリクエストに応じて、インデックスデータをサーチします。 レシーバー レシーバーは、フォワーダーからデータを受信するように設定された、Splunk Enterprise インスタンスです。レシーバーはインデクサーまたは他のフォワーダーにな ります。 サーチヘッド サーチヘッドは分散サーチ環境でサーチの管理を担当し、サーチリクエストを⼀連の サーチピアに割り当てて、その結果をまとめてからユーザーに返す Splunk Enterprise インスタンスです。このインスタンスがサーチのみを担当し、インデックスを作成しな い場合は、専任サーチヘッドと呼ばれます。 サーチピア 分散環境でサーチピアは、インデックスの作成を担当し、またサーチヘッドから割り当 てられたサーチリクエストの処理を⾏う Splunk Enterprise インスタンスです。 これらのコンポーネントと分散環境におけるその役割については、『分散デプロイ』マニュアルの「コンポーネン トとロール」を参照してください。 Splunk Enterprise のリソースとドキュメント 製品リソース このトピックは、ドキュメント、教育、コミュニティなどの、Splunk Enterprise や 他の Splunk 製品に関する 情報を探すために役⽴つリソースの概要を説明しています。 ドキュメント ⽬的 Splunk Enterprise 参照箇所 Splunk Enterprise の設定および使⽤に関する情報は、Splunk Enterprise ドキュメントに記載されています。Splunk Enterprise ドキュメントの以下 のトピックに、有益な情報が記載されています。 Splunk Enterprise の管理 サーチとレポート ナレッジの管理 Splunk Enterprise のカスタマイズと拡張 トラブルシューティング Splunk 製品 Splunk 製品には、Splunk Enterprise、Hunk、Splunk Cloud、および Splunk Storm が含まれます。各 Splunk 製品には、独⾃のドキュメント セットが⽤意されています。Splunk.com を参照してください。 Splunk Apps 各 App には、独⾃のドキュメントが⽤意されています。⼀般的に、App の ドキュメントは、その App のダウンロードページにリンクが記載されてい るか、または App のダウンロードパッケージに同梱されています。Splunk がサポートしている App の場合、その App のドキュメントは Splunk のド キュメントサイトにのみ⽤意されています。 Splunk SDK Splunk SDK は、Splunk for Developers サイトで提供されています。ここ には、各 Splunk SDK に関する情報、チュートリアル、および例が記載さ れています。SDK のモジュールライブラリや他の参考資料については、 Splunk ドキュメントサイトを参照してください。 教育 ⽬的 参照箇所 5 Splunk Education Splunk トレーニングクラスおよび認定 ビデオチュートリアル Splunk Education ビデオ コミュニティ ⽬的 参照箇所 Splunk Answers ドキュメントに⽬的の情報が記載されていない場合は、Splunk Answers を ご覧ください。コミュニティからのコメントが記載されています。また、新 たに質問することもできます。 #splunk efnet の IRC サーバーにログインして、Splunk 開発者、Splunk サポー ト、および他の Splunk コミュニティのメンバーとチャットすることができ ます。 Splunk Enterprise の管理 このトピックは、管理者が⾏う作業、およびその⽅法を学習するためのマニュアルやトピックを記載しています。 Splunk Enterprise のインストールとアップグレード 『Installation Manual』は、Splunk Enterprise のインストールおよびアップグレード⽅法について説明してい ます。 作業: 参照先: インストール要件の理解 インストールのプランニング 必要なハードウェア容量の⾒積もり ハードウェア要件の⾒積もり Splunk のインストール Windows への Splunk のインストール Unix、Linux、または MacOS への Splunk のインス トール Splunk のアップグレード 以前のバージョンからのアップグレード バックアップの実⾏ 設定情報のバックアップ インデックス作成されたデータのバックアップ リタイア/アーカイブポリシーの設定 Splunk Enterprise へのデータの取り込み 『データの取り込み』には、外部データソースからのデータの取り込み、データ価値の向上など、Splunk への データの取り込み (またはデータ⼊⼒) に関する情報が記載されています。 作業: 参照先: 外部データの取り込み⽅法の学習 Splunk へのデータの取り込み ファイルおよびディレクトリからのデータ取り込みの 設定 ファイルやディレクトリからデータを収集 ネットワークからのデータ取り込みの設定 ネットワークイベントの取得 Windows からのデータ取り込みの設定 Windows データの取得 その他のデータ取り込みの設定 その他のデータの取得 データ価値の向上 イベント処理の設定 タイムスタンプの設定 インデックスフィールド抽出の設定 ホスト値の設定 ソースタイプの設定 イベントのセグメント分割の管理 インデックス作成後のデータ データのプレビュー プロセスの改善 データ⼊⼒プロセスの改善 データパイプライン Splunk Enterprise 内でのデータの移動:データパイ プライン インデックスとインデクサーの管理 『インデックスとクラスタの管理』は、インデックスの設定⽅法について説明しています。また、インデックスを 保持するコンポーネントである、インデクサーとインデクサーのクラスタの管理⽅法についても説明しています。 作業: 参照先: 6 インデックス作成についての学習 インデックスの概要 インデックスの管理 インデックスの管理 インデックスストレージの管理 インデクサーによるインデックスの保管⽅法 インデックスのバックアップ インデックス作成されたデータのバックアップ インデックスのアーカイブ リタイアおよびアーカイブポリシーの設定 クラスタとインデックスレプリケーションについての 学習 クラスタとインデックスレプリケーションについて クラスタのデプロイ クラスタのデプロイ クラスタの設定 クラスタの設定 クラスタの管理 クラスタの管理 クラスタアーキテクチャについての学習 クラスタの仕組み Splunk Enterprise 環境の拡張 『分散デプロイ』マニュアルは、フォワーダー、インデクサー、サーチヘッドなどの複数のコンポーネントにまた がって、Splunk Enterprise の機能を分散する⽅法について説明しています。関連マニュアルに、分散コンポーネ ントの詳細が記載されています。 『データの転送』マニュアルは、フォワーダーについて説明しています。 『分散サーチ』マニュアルは、サーチヘッドについて説明しています。 『Splunk コンポーネントの更新』マニュアルは、デプロイ環境を管理するための、デプロイサーバーの使 ⽤とフォワーダーの管理⽅法について説明しています。 作業: 参照先: 分散 Splunk についての学習 分散 Splunk の概要 Splunk デプロイのキャパシティプランニング ハードウェア要件の⾒積もり データの転送⽅法の学習 データ転送 複数のインデクサーにまたがった分散サーチ 複数インデクサーに対するサーチ デプロイの更新 環境全体への設定更新のデプロイ Splunk Enterprise の保護 『Splunk のセキュリティ』は、Splunk デプロイ環境のセキュリティについて説明しています。 作業: 参照先: ユーザーの認証とロールの編集 ユーザーおよびロールベースのアクセス制御 SSL による Splunk データの保護 セキュリティ認証と暗号化 Splunk の監査 Splunk アクティビティの監査 Splunk でのシングルサインオン (SSO) の使⽤ シングルサインオンの設定 Splunk での LDAP の使⽤ LDAP によるユーザー認証の設定 サーチとレポート [サーチとレポート] App を使って、データのサーチ、データモデルとピボットの作成、サーチやピボットのレ ポートとしての保存、アラートの設定、ダッシュボードの作成などの作業を⾏えます。 サーチ 『サーチマニュアル 』は、サーチ⽅法およびサーチ⾔語の使⽤⽅法について説明しています。サーチコマンドと その構⽂、説明、および例については、『サーチリファレンス』マニュアルを参照してください。 作業: 参照先: 初めて Splunk Enterprise を使⽤するため、サーチの 実⾏⽅法およびサーチ処理⾔語の使⽤⽅法を学習 『サーチチュートリアル』を参照 サーチ処理⾔語の詳細の学習 サーチについて サーチ⾔語について サーチ処理⾔語の構⽂ 変換コマンドとサーチについて リアルタイムサーチとレポートについて 7 特定のサーチコマンドまたは関数を探す サーチコマンドの⼀覧 サーチコマンドのカテゴリ別⼀覧 eval と where の関数⼀覧 stats、chart、および timechart の関数の⼀覧 サーチジョブの管理 ジョブとジョブ管理について サーチジョブ調査によるサーチジョブプロパティの表 ⽰ ピボットの作成 『ナレッジ管理』マニュアルには、データモデルエディタを使ったデータモデルの設計と構築⽅法を説明している セクションがあります。『ピボットマニュアル』は、ピボットテーブルおよびグラフの作成⽅法を説明していま す。 作業: 参照先: 初めて Splunk Enterprise を使⽤するため、データモ デルおよピボットについて学習 ピボットチュートリアル データモデルの詳細および作成⽅法について学習 データモデルについて ピボットの詳細と、ピボットエディタを使ったテーブ ルとグラフの設計⽅法を学習 ピボットマニュアル レポート 作業: 参照先: サーチコマンドを使ってレポートを⽣成 変換コマンドとサーチについて 利⽤できる各種視覚エフェクトについて学習 (テーブ ル、グラフ、イベントリスト、その他) 視覚化リファレンス 視覚エフェクトのデータ構造要件 サーチやピボットのレポートとしての保存 レポートの作成と編集 レポートの⾼速化 レポートの⾼速化 レポート⾼速化の要件の理解 レポートのスケジュール レポートのスケジュール レポートの PDF を⽣成 レポートとダッシュボードの PDF の⽣成 アラート アラートの作成およびディスパッチについては、『アラートマニュアル』を参照してください。 作業: 参照先: アラートについての学習 アラートについて メール通知、RSS 通知、またはアラートスクリプトの 設定 アラートアクションの設定 アラートの例を参照 アラートの例 最近⽣成されたアラートを参照 ⽣成されたアラートをアラート管理で確認 設定ファイルを使ったアラートの設定 savedsearches.conf 内のアラート設定 ダッシュボードと視覚エフェクトの作成 作業: 参照先: ダッシュボードについての学習 ダッシュボードの概要 ダッシュボードの作成、編集⽅法の学習 Splunk Web を使ったダッシュボードの作成と編集 ダッシュボードパネルの視覚エフェクトの編集 シンプル XML でのダッシュボードの作成と編集 8 利⽤できる各種視覚エフェクトについて学習 (テーブ ル、グラフ、イベントリスト、その他) 視覚化リファレンス 視覚エフェクトのデータ構造要件 デフォルトのアクティビティとサマリーダッシュボー ドについて学習 Splunk のデフォルトダッシュボード Splunk Web フレームワークの学習 Splunk Web フレームワークの概要 ナレッジの管理 これらの表は、イベント、フィールド、ルックアップ、およびデータモデルなどの、ナレッジオブジェクトを理 解、管理するためのトピックを記載しています。 Splunk Enterprise のナレッジ 作業: Splunk Enterprise のナレッジについて 参照先: Splunk Enterprise のナレッジとは? 共通の情報モデルの理解と使⽤ ナレッジオブジェクトの管理 ナレッジオブジェクトの監視と編成 ナレッジオブジェクトの無効化または削除 イベントとイベントの処理 作業: 参照先: イベント処理の設定 イベント処理の設定 イベントのセグメント分割の管理 イベントのセグメント分割の管理 イベントタイプについて イベントとイベントタイプについて 類似イベントの分類とグループ化 フィールドとフィールドの抽出 作業: フィールドの概要 参照先: フィールドについて デフォルトフィールドの使⽤ 複数値フィールドの設定 計算済みフィールドの定義 フィールド抽出の概要と管理 フィールドについて Splunk Enterprise がフィールドを抽出する時期 サーチ時フィールド抽出の管理 Splunk Enterprise の正規表現について データモデルの作成 作業: 参照先: データモデルとオブジェクトの学習 データモデルについて データモデルとオブジェクトの管理 データモデルの管理 データモデルエディタの使⽤ データモデルとオブジェクトの設計 Splunk Enterprise のカスタマイズと拡張 開発者は、Splunk App を作成したり、他のツールやアプリケーションを Splunk Enterprise に統合したりする ことができます。詳細は、以下のリンクを参照してください。 9 Splunk App の開発 作業: 参照先: Splunk Web フレームワークの使⽤ Splunk Web フレームワークの概要 Splunk Web フレームワークの例を参照 Splunk Web フレームワークのコードの例 Splunk Web フレームワークのコンポーネントを参照 Splunk Web フレームワークのコンポーネントリファ レンス Splunk REST API の使⽤ 開発者は Splunk REST API を使って、任意のアプリケーションから Splunk Enterprise 内のデータのインデッ クス作成、サーチ、視覚化を⾏うことができます。 作業: 参照先: Splunk REST API について Splunk REST API の概要 Splunk REST API の使⽤⽅法の学習 REST API チュートリアル Splunk を使ったログの改善⽅法について ログの概要 ログのベストプラクティス REST API リファレンスを参照 REST API リファレンス Splunk SDK のダウンロードとインストール Splunk SDK に関する情報は、Splunk for Developers サイトと Splunk ドキュメントサイトを参照してくださ い。 作業: 参照先: Splunk SDK の詳細を学習 Splunk SDK の概要 Splunk SDK のコードライブラリと例を参照 Splunk SDK リファレンス Splunk Enterprise の機能拡張 開発者は、サーチ⾔語を拡張して、独⾃の処理や計算を⾏ったり、データ⼊⼒をカスタマイズすることができま す。 作業: サーチ⾔語の拡張 参照先: カスタムサーチコマンドの作成 サーチマクロの作成と編集 スクリプトアラートの設定 カスタムデータ⼊⼒の管理 スクリプト⼊⼒の概要 モジュール⼊⼒の概要 トラブルシューティング 『トラブルシューティング・マニュアル』は、Splunk Enterprise を使ったアクティビティの分析と問題の診断⽅ 法を説明しています。他のマニュアルを参照して、特定の情報を⼊⼿することもできます。たとえば、『サーチマ ニュアル』には、サーチパフォーマンスの改善⽅法に関する記事が記載されています。 作業: 新機能、既知の問題、修正された問題などの情報を学 習 参照先: このバージョンの新機能 このリリースの既知の問題 Splunk Enterprise トラブルシューティングツールに ついての学習 Splunk Enterprise トラブルシューティングの概要 btool を使った設定のトラブルシューティング Splunk App での Splunk の使⽤ プラットフォーム情報フレームワークの使⽤ プラットフォームインストルメンテーションフレーム ワークについて 10 Splunk Enterprise ログファイルについて Splunk Enterprise ログとは metrics.log について サーチパフォーマンスのトラブルシューティング より良いサーチの作成 サーチジョブ調査によるサーチプロパティの表⽰ ライセンス違反のトラブルシューティング ライセンス違反について ライセンス使⽤状況レポートビューの使⽤ 11