Comments
Description
Transcript
Splunk インストール&クイックリファレンスガイド
Splunk4.3 インストール&クィックリファレンスガイド マクニカネットワークス株式会社 第 2 版発行 目次 1.はじめに ........................................................................................................................................ 3 2.システム要件 ................................................................................................................................ 3 3.インストール方法 ........................................................................................................................... 5 4.Splunk Web の主な画面構成....................................................................................................... 6 5.Getting started App.................................................................................................................... 8 6.各種機能の基本操作 .................................................................................................................. 10 6-1.データの取り込み(データ入力の設定) ......................................................................... 10 6-2.検索................................................................................................................................... 20 6-3.フィールド ......................................................................................................................... 22 6-4.レポート ........................................................................................................................... 25 6-5.ダッシュボード.................................................................................................................. 28 7.お問い合わせ窓口 ...................................................................................................................... 31 Copyright © 2012 Macnica Networks Corp. All Rights Reserved. 禁無断転載 2 1.はじめに 本書は、IT データエンジンである Splunk 入門ガイドです。Splunk のインストール方法や基本的な設定方法を解説 しており、これから Splunk を評価される方が本書を参照しながら、Splunk の基本機能をご利用頂けることを目的と した評価支援資料です。 ※ 本書に記載の内容は Splunk Version4.3.2 での仕様を元に作成しております。また、本書に記載の内容 は評価向けにカスタマイズしたものとなります。実際の本番環境での運用には適さない設定を含むため、 実際の運用向け設定については弊社までお問い合わせください。 2.システム要件 Splunk Version4.3.2 のシステム要件は次の通りです。 ■Splunk インデックスサーバーのオペレーティングシステム Solaris 9, 10 (x86, SPARC) Linux Kernel vers 2.6.x 以上 (x86: 32 及び 64-bit) FreeBSD 6.1(x86: 32-bit), 6.2, 7.x, 8.x (x86: 32 及び 64-bit) Windows Server 2003/2003 R2 (64-bit, 32-bit は非推奨) Windows Server 2008/2008 R2 (64-bit, 32-bit は非推奨) Windows XP (32-bit) Windows Vista (32-bit, 64-bit) Windows 7 (32-bit, 64-bit) MacOSX 10.5, 10.6 (32-bit 及び 64bit ) (10.6 は 32-bit のみ) AIX 5.2, 5.3, 6.1 HP-UX 11iv2 (11.22), 11iv3 (11.31) (PA-RISC, Itanium) ※ 64bit OS での利用を推奨。 ※ 推奨構成については弊社までお問い合わせください。 ■Splunk フォワーダーサーバーのオペレーティングシステム 上記インデックスサーバーの対応オペレーティングシステムと同様です。 ■サポートしているクライアントのブラウザ Firefox 3, 4, 8 Internet Explorer 6, 7, 8, 9 (Internet Explorer 8 は IE7 互換モードのみ対応、Internet Explorer 9 は互換モード非対 応) Safari (最新版) Chrome (最新版) ※ JSChart モジュール(HTML5)非対応のブラウザを使用する場合には、 Adobe Flash(最新版) が必要 となります。 ■ハードウェア要件 ・インデックスサーバー プラットフォーム 推奨ハードウェアキャパシティ 非 Windows 2x quad-core Xeon, 2.5GHz, 16GB RAM, RAID 1+0 or 0 (64bit) Windows 2x quad-core Xeon, 2.5GHz, 16GB RAM, RAID 1+0 or 0 (64bit) Copyright © 2012 Macnica Networks Corp. All Rights Reserved. 禁無断転載 3 ※ SAS HDD、15000rpm 以上、800IOPS 以上を推奨。 ※ 標準的なサーバでの推奨スペックの目安となります。評価環境では上記スペック以下の環境でも動作いた します。本番環境ではご要望により推奨構成等が異なる場合があるので、ご注意ください。 ・ユニバーサル/ライトフォワーダー Dual Core 1.5Ghz 以上の CPU, 1GB 以上の RAM ※ すべてのインストールおいて最低 2GB のハードディスクスペースが必要になります。 ■サポートされているファイルシステム プラットフォーム Linux Solaris ファイルシステム ext2/3, reiser3, XFS, NFS 3/4 UFS, ZFS, VXFS, NFS 3/4 FreeBSD FFS, UFS, NFS 3/4 Mac OS X HFS, NFS 3/4 AIX HP-UX Windows JFS, JFS2, NFS 3/4 VXFS, NFS 3/4 NTFS, FAT32 ※ NFS は非推奨。 ※ FreeBSD では、nullfs でのマウントはサポートされません。 Copyright © 2012 Macnica Networks Corp. All Rights Reserved. 禁無断転載 4 3.インストール方法 本インストール手順はホストのオペレーティングシステムが Red hat Linux の場合の手順です。 (1) 以下のサイトよりインストールファイルをダウンロードしてください。(ログインが必要となります) http://www.macnica.net/splunk/tech.html (2) rpm コマンドを実行してインストールを行います。コマンド rpm –i を使用してインストールしてください。 実行例) rpm – i splunkXXXXXX.rpm (3) インストールが完了するとデフォルトで/opt/splunk ディレクトリに Splunk がインストールされます。 1) /opt/splunk ディレクトリ以外のディレクトリに Splunk をインストールする場合、下記の実行例ように prefix パラメータにディレクトリを指定する必要があります。 rpm -i --prefix=/opt/new_directory splunk-XXXXXX.rpm (4) 下記のコマンドを実行し、splunk を起動します。 /opt/splunk/bin/splunk start (5) Web ブラウザの URL に SplunkWeb の URL を入力し、Splunk にログインし、Splunk が起動している事を確 認ください。 http://<Splunk サーバの IP アドレス or ホスト名>:8000 2) Enterprise 版のデフォルトのユーザーアカウントは admin/changeme です。 【注意事項】 Linux 環境で SELinux が有効の場合、Linux の環境によっては、SELinux が Splunk の実行を許可しない場合 があります。その場合には、SELinux に Splunk を実行可能なアプリケーションとして追加する必要があります。 (SELinux が無効の場合、本手順は不要です。) 1) SELinuux に Splunk の実行を許可するために、Splunk の lib ディレクトリに対して、chcon コマンドを実行し ます。 実行例) chcon -c -v -R -u system_u -r object_r -t lib_t /opt/splunk/lib 2>&1 > /dev/null 2) Splunk の 起 動 時 の Splunk の SELinux の チ ェ ッ ク を 無 効 に す る た め に 、 下 記 の 一 行 を /opt/splunk/etc/splunk-launch.conf に追加してください。 SPLUNK_IGNORE_SELINUX=1 Copyright © 2012 Macnica Networks Corp. All Rights Reserved. 禁無断転載 5 4.Splunk Web の主な画面構成 Splunk Web(Splunk のユーザーインターフェイス)にて検索する画面、管理する画面の主な画面構成について説 明致します。 (1) トップ画面サンプル ログイン後に表示される画面です。 インストール済みの App 一覧や、 App の追加を行います。 Splunk の管理・設定を行 います。 基本検索を行うには、Search App の 起動を選択します。 (2) 基本検索画面サンプル 「Search」App にて検索時に表示される画面です。 保存済みの検索条件などを表示します。 検索ボックスです。 Copyright © 2012 Macnica Networks Corp. All Rights Reserved. Splunk が取り込んだデータをカテゴリ別に 表示したものです。 禁無断転載 6 (3) 管理者設定画面サンプル トップ画面の「管理」をクリックして、画面遷移します。 App の一覧表示、追加を行います。 ライセンス等 のシステム 設定を行い ます。 取り込むデ ータの設定 管理を行い ます。 展開設定を 管理します。 ユーザ等の 基本的な検索や検索に関する設定を 行います。 Copyright © 2012 Macnica Networks Corp. All Rights Reserved. 管理を行い ます。 禁無断転載 7 5.Getting started App SplunkWeb トップ画面の「Splunk ホーム」タブをクリックすると、「あなたの App」一覧が表示されます。その App 一 覧には、デフォルトで「Getting started」という App が存在します。ここではこの「Getting started」App の主な画面 について説明致します。 Getting started App へ移動します。 (1) Getting started トップ画面 App 一覧の「Getting started」選択後の画面です。タブ表示されている各項目をクリックすることにより、詳細な 説明を表示することができます。本トップ画面の「概要」項目では、App 間の移動や Splunk の管理など、Splunk 使用方法の概要を説明しています。 App や App 間の移動などに 関する説明を表示します。 左メニュー で選択した 項目の詳 Splunk の管理に関する説明を 細な説明を 表示します。 表 示 し ま す。 Copyright © 2012 Macnica Networks Corp. All Rights Reserved. 禁無断転載 8 (2) その他の画面 タブ表示されている各項目から、各機能の説明や設定手順を表示することができます。また、各項目の設定手 順内に表示される「移動」ボタンから、実際の設定ページへ移動することができます。 データの取込み に関する説明画 面に移動します。 Splunk インストールサーバ上 のデータ取り込みに関する 説明を表示します。 リモートマシン上データ取り リモート Windows マシン上デ 込みに関する説明を表示し ータ取り込みに関する説明 ます。 を表示します。 実際の設定画面に移動します。 ネットワーク経由でのデータ 上記以外の手段のデータ取 取り込みに関する説明を表 り込みに関する説明を表示 示します。 します。 Copyright © 2012 Macnica Networks Corp. All Rights Reserved. 禁無断転載 9 6.各種機能の基本操作 6-1.データの取り込み(データ入力の設定) Splunk は多様な方法でデータを取り込むことができます。ここでは簡易的なデータの取り込み方法について説明 致します。 (1) ネットワークからのデータ取り込み Splunk が Open している TCP /UDP ポートにデータが転送されると Splunk は自動的にデータを取り込みます。 Syslog サーバーのような構成イメージでログを取り込むことができます。 1) ようこそ画面から「データ追加」をクリックし、「UDP ポートから」を選択して新規のデータ取り込み方法を作成 します。 ※ ここでは UDP を対象にしています。 各種データの追加方法について の説明と、データを簡単に追加す るためのページとなります。 ※ 上記画面は Splunk を WindowsOS 上にインストールした場合のものです。 Copyright © 2012 Macnica Networks Corp. All Rights Reserved. 禁無断転載 10 2) 下記のような設定を行い、「保存」をクリックしてデータの取り込みを行います。 手動を選択します。 ログの種類を判別するた めの名称を入力します。 3) 指定したポートにデータを送信して、Splunk がデータを取り込むことを確認します。 ※ ネットワークポートからデータの取り込みを行う際に、インストールした Splunk サーバ上で指定したネットワー クポート番号が Open である必要があります。Splunk でデータの取り込みが確認できない場合は、システム の Firewall の設定などをご確認ください。 Copyright © 2012 Macnica Networks Corp. All Rights Reserved. 禁無断転載 11 (2) ファイルのアップロードによるデータ取り込み 最もシンプルなデータの取り込み方法です。検証や評価目的で Splunk にログを取り込ませるのに適した方法で す。データの取り込みは手動で行う必要があります。 1) 管理画面の「データ入力」 → 「ファイル&ディレクトリ」にて「新規追加」をクリックして新規のデータ取り込み 方法を作成します。 ※ 上記画面は Splunk を WindowsOS 上にインストールした場合のものです。 2) ここでは、「Skip preview」を選択し、「Continue」を選択します。 Copyright © 2012 Macnica Networks Corp. All Rights Reserved. 禁無断転載 12 3) 下記のような設定を行い、「保存」をクリックしてデータの取り込みを行います。 手動を選択します。 ログの種類を判別するための 名称を入力します。 4) アップロードしたログファイルの情報を Splunk がデータを取り込むことを、「ネットワークからのデータ取り込 み」と同様に確認します。 Copyright © 2012 Macnica Networks Corp. All Rights Reserved. 禁無断転載 13 (3) ディレクトリ、ファイル監視によるデータ取り込み Splunk が指定されたディレクトリやファイルを監視していて、追加データが発生すると自動的にデータを取り込み ます。ファイルのアップロードによるデータ取り込みが手動でデータをアップロードする必要があるのに対して、本 取り込み方法は自動でデータの取り込みを行います。 1) 管理画面の「データ入力」 → 「ファイル&ディレクトリ」にて「新規追加」をクリックして新規のデータ取り込み 方法を作成します。 ※ 上記画面は Splunk を WindowsOS 上にインストールした場合のものです。 2) ここでは、「Preview data before indexing」を選択し、実際にデータの取込みを開始する前にプレビュー画面 上で確認しながら取り込む方法を選択します。「Browse server」ボタンから任意のファイル※を選択し、 「Continue」ボタンをクリックして次の画面に進みます。 ※ 下記の例では、時刻が UTC(協定世界時)、文字コードがシフト JIS 形式のログを「webapp」という新 しい「ソースタイプ」として設定し、取り込むまでの流れを説明します。 Copyright © 2012 Macnica Networks Corp. All Rights Reserved. 禁無断転載 14 3) 「Set source type」画面では下記のように「Start a new sourcetype」を選択し、「Continue」をクリックしま す。 4) 「Timestamp」の時刻や各「Event」の区切り位置が、実際のログの時刻や区切り位置と一致しているかどう かを確認します。ここでは、タイムゾーンと文字コードの設定をするため 「If it looks incorrect, adjust timestamp and event break settings.」のリンクをクリックします。 タイムスタンプやイベントの区切り位置が必要な 場合には、こちらから設定を行います。 各イベントの区切り位置が実際のログの区切り 位置と一致しているかどうかを確認します。 実際のログのタイムスタンプの位置や、Splunk が認識した Timestamp の時刻が正しいかどうかを確認します。 タイムスタンプや文字コード、イベントの区切り位置などが 意図した通りにプレビューされている場合には、こちらの 「Continue」ボタンをクリックします。 Copyright © 2012 Macnica Networks Corp. All Rights Reserved. 禁無断転載 15 5) 時刻が UTC(協定世界時)、文字コードがシフト JIS 形式のログファイルを取り込むためには、タイムゾーンと エンコーディング種類を指定する必要があります。タイムゾーンの設定は、下記のように「Timestamps」タブ をクリックし、「Specify timezone」にチェックを入れ、任意のタイムゾーン(ここでは 「(UTC) Coodinated Universal Time」)を選択して「適用」ボタンをクリックします。 「Timestamp」タブを選択します。 「Specify timezone」にチェックを 入れます。 任意のタイムゾーンを 「適用」ボタンをクリックすることで、 選択します。 設定内容をプレビューします。 6) 「適用」ボタンをクリックしたことにより、プレビュー画面の Timestamp 時刻が更新されたことを確認します。 ログの時刻が UTC として認識され、 Timestamp が 9 時間プラスされる事を 確認します。 7) 文字コードの設定は、設定ファイル「props.conf」を編集する必要があるため、下記のように「Advanced mode(props.conf)」タブをクリックし、「Additional settings (overrides)」へ「CHARSET=SHIFT-JIS」の一文 を追記して「適用」ボタンをクリックします。 ※ 下記の設定は、ソースタイプに、webapp と指定されたファイルを読み込む際 SHIFT-JIS から内部処理 に利用する UTF-8 へ明示的に変換を行う事を示しています。同様に、EUC-JP のログファイルの場合、 CHARSET=EUC-JP とします。 Copyright © 2012 Macnica Networks Corp. All Rights Reserved. 禁無断転載 16 「Advanced mode (props.conf)」タブ をクリックします。 文字コードの設定を追記します。 「適用」ボタンをクリックすることで、 設定内容をプレビューします。 8) 再度プレビュー画面上でタイムゾーンと文字コード変換が正しく行われている事を確認し、「Continue」ボタン をクリックします。 9) ここでは、新しいソースタイプとして「 webapp」を追加します。「Review settings」の「Name your new sourcetype」へ、「webapp」と入力し、「Save source type」ボタンをクリックします。 新しく追加するソースタイプ名 を入力します。 Copyright © 2012 Macnica Networks Corp. All Rights Reserved. 禁無断転載 17 10) 「Succcessfully created webapp」画面が表示されることを確認し、「Create input」ボタンをクリックします。 11) 下記のような設定を行い、「保存」をクリックしてデータの取り込みを行います。 監視対象としたファイル(またはディレク トリ)が入力されている事を確認します。 「その他の設定」にチェックが入って いる事を確認します。 監視対象のホスト名を入力します。 作成したソースタイプ「webapp」が 入力されている事を確認します。 Copyright © 2012 Macnica Networks Corp. All Rights Reserved. 禁無断転載 18 12) 指定したディレクトリ/ファイルにデータを追加して、Splunk がデータを取り込むことを「ネットワークからのデー タ取り込み」と同様に確認します。 Copyright © 2012 Macnica Networks Corp. All Rights Reserved. 禁無断転載 19 6-2.検索 Splunk は多様な方法でデータの検索を行うことができます。ここでは基本的なデータの検索方法をいくつかご紹介 いたします。 (1) 検索対象のログの絞り込み データの取り込み時に指定した sourcetype や host でデータの絞り込みが行えます。 【実行例】 sourcetype="xxxxxxxxxxx" host="xxxxxxxxxxx" (2) 時間指定によるデータ検索 時間指定をしてデータの絞り込みが行えます。 【実行例】 startminutesago=x starthoursago=x startdaysago=x (3) 右画面のようにリアルタイムでの表示や時間指定 することもできます。 Copyright © 2012 Macnica Networks Corp. All Rights Reserved. 禁無断転載 20 (4) 検索キーと演算子によるデータ検索 1) ワイルドカードの使用例 Error* (文字列 Error の後に任意の文字列が存在するデータの絞りこみ検索) 2) クォーテーションの使用例 “foo bar” (文字列 foo bar を含むデータの絞り込み検索) 3) 演算子の使用例 【実行例】 xxx OR yyyy xxx AND yyyy xxx NOT yyyy ※ 演算子は大文字でなければなりません。 下記は実行例です。AND 条件を使用しているので、2 つの検索文字が含まれるデータが抽出されています。 Copyright © 2012 Macnica Networks Corp. All Rights Reserved. 禁無断転載 21 6-3.フィールド フィールドとはレポート対象となる項目の名前と値のペアです。例えば host=foo は host がフィールド名で値が foo となります。Splunk が取り込んだデータの中に xxxx=yyyy のペアがあればフィールド定義が自動的(※)に作成され ます。ここでは自動的に作成されたフィールドをレポート対象として登録する設定方法について説明致します。 ※ 「フィールドの発見」が有効になっている場合のみ、自動的に作成されます。デフォルトでは有効になっていま すが、無効に切り替えることも可能です。 (1) フィールドの設定 1) レポート対象としたいフィールドを選択します。 フィールド定義を自動 的に作成します。 クリックすると、選択したフィールド が表示されます。(表示位置は次 対象としたいフィールド を選択します。 Copyright © 2012 Macnica Networks Corp. All Rights Reserved. の画像を参照) 禁無断転載 22 2) 下記のように追加したフィールドが表示されます。 追加したフィールドが、 表示されます。 (2) フィールドの抽出 自動抽出されていないフィールを手動で抽出することができます。ここでは、SplunkWeb からフィールドを抽出す る方法について説明致します。 1) レポート対象としたいログから「フィールドの抽出」をクリックします。 各ログのプルダウンタ グをクリックして、「フィ ールドの抽出」を選択 します。 Copyright © 2012 Macnica Networks Corp. All Rights Reserved. 禁無断転載 23 2) フィールドを抽出する正規表現の設定をします。自動生成した正規表現が正しければ「保存」をクリックし、 任意のフィールド名を設定して保存してください。(※ フィールド名は半角英数字で入力してください。) フィールドとして抽出したい値をサンプル のイベントから貼り付けます。複数値があ 「生成」をクリックす る場合は、改行して複数入力することで ると、条件に合致し 正規表現の制度が上がります。 た正規表現が生成 されます。 生成された正規表現が適切ではない場合、 「編集」をクリックして正規表現を手動で変更す ることも可能です。 Copyright © 2012 Macnica Networks Corp. All Rights Reserved. 禁無断転載 24 6-4.レポート Splunk は検索結果を多様な方法でレポート表示することができます。ここでは簡易的なレポート保存方法について 説明致します。 1) レポート表示させたい検索結果画面から「作成」 → 「Report...」をクリックします。 「Report...」をクリックしま す。 2) レポートタイプとフィールドを選択して、「次のステップ」をクリックします。 「トップ値」を選択します。 表示したいフィールドを 選択します。 Copyright © 2012 Macnica Networks Corp. All Rights Reserved. 禁無断転載 25 3) レポートフォーマット設定を行うことで指定したフィールド(src)のカウントの多い順のランキングを横棒グラフ でレポート表示します。(「適用」ボタンをクリックすると、グラフのプレビューが表示されます。) プルダウンメニューから、 表示したいグラフの種類を 選択します。 4) レポートの書式が決まったら、「保存」 → 「Save report...」をクリックします。 Copyright © 2012 Macnica Networks Corp. All Rights Reserved. 禁無断転載 26 5) 「検索名」欄へ任意の検索名を入力し、「完了」をクリックします。 6) 上部メニューバー「検索とレポート」から、保存したレポートが選択できるようになったことをします。 Copyright © 2012 Macnica Networks Corp. All Rights Reserved. 禁無断転載 27 6-5.ダッシュボード Splunk は保存された複数のレポートをダッシュボードとして保存しておくことができます。ここでは簡易的なダッシュ ボード保存方法について説明致します。 1) 上部メニューバー「ダッシュボードとビュー」から、「ダッシュボードの作成...」をクリックします。 2) 任意の「ID」、「名前」を入力し、「作成」をクリックします。(※ ID は半角英数字で入力してください。) 3) 新しいダッシュボードの設定画面が表示されますので、「編集:」の右側にある「オン」をクリックし、ダッシュボ ードの編集を有効化します。 「オン」を選択します。 4) ダッシュボードに表示したいレポートを追加するため、「+新しいパネル」をクリックします。 Copyright © 2012 Macnica Networks Corp. All Rights Reserved. 禁無断転載 28 5) ダッシュボード内のパネルタイトルとして任意の名前を入力し、前のセクションで保存したレポートを選択し、 「保存」をクリックします。 6) 保存された検索コマンドの実行結果がパネルに追加されます。表示を編集するには、パネル内の「Edit」 → 「Edit visualization」をクリックします。 7) ここでは「視覚エフェクト」から「円」を選択し、「保存」を クリックします。 Copyright © 2012 Macnica Networks Corp. All Rights Reserved. 禁無断転載 29 8) 選択されたレポートの表示結果が、テーブル形式から円グラフ表示に変更された事を確認し、ダッシュボード の編集を無効化するため、「オフ」をクリックします。 「オン」を選択します。 9) 作成されたダッシュボードが上部メニューから選択できるようになったことを確認します。 Copyright © 2012 Macnica Networks Corp. All Rights Reserved. 禁無断転載 30 7.お問い合わせ窓口 本書で紹介していないコマンドラインからの設定の追加や、より高度な検索コマンドの使用方法などにつきましては オンラインマニュアルをご覧いただくか、弊社マクニカネットワークス株式会社が主催するセミナーにご参加ください。 ご不明な点は下記の弊社窓口までお問い合わせください。 【お問い合わせ窓口】 〒222-8562 横浜市港北区新横浜 1-5-5 マクニカネットワークス株式会社 Splunk セールス担当 TEL: 045-476-1960 E-mail: [email protected] URL: http://www.macnica.net/splunk/ マクニカネットワークス株式会社の事前の許可なく、このマニュアルのいかなる部分も、いかなる方法によって複製、 または電子媒体に複写することを禁じます。このマニュアルに記載されている製品および仕様に関する情報は、予告 なしに変更されることがあります。 本マニュアルに記載されている情報の正確性および信頼性には万全を期しておりますが、マクニカネットワークス株式 会社は、いかなる利用について一切の責任を負わないものとします。Splunk Inc.は US およびその他の国において Splunk Inc.の登録商標です。その他、本マニュアルに記載されている会社名や製品名は、それぞれ各社の商標また は登録商標です。 Copyright © 2012 Macnica Networks Corp. All Rights Reserved. 禁無断転載 31