Splunk

スプランク
こちらの製品に関するお問い合わせはこちらから
資料請求 お問い合わせ
MENU

Splunk

スプランク

マシンデータを地図で俯瞰する

2015/06/04

こんにちは。Splunk中毒の鈴木です。

みなさん大好きSplunk(スプランクと読みます)。
サーチ画面で文字列を打てば、一発高速検索できて便利ですね。僕も最初はそうでしたが、いろんな文字列を入れていました。errorとかfailとか(笑)
でも、この検索窓にはコマンドも打てるのです。単なる検索窓ではありません。

今回はその便利なコマンドの中でやはり見た目がよくなる、geostatsというコマンドのご紹介です。このコマンドを実行する事で、IPアドレスからの位置情報を地図に表示することができます。

まず、検索窓にapacheログを指定してみましょう。ソースタイプはaccess_combinedなど自分の管理しているApacheサーバのIPアドレスが含まれているソースタイプを入れてみましょう。いつものイベントログが出てきますね。

左側のフィールドの中からIPアドレスを認識した、clientipというフィールド名を押すと開いた画面にトップ値というリンクがありますので、実行します。数値が多い順のipアドレスのリストが表示されます。

そうです。よく見ますといつの間にか検索窓に上位20位を検索する文字列が自働的に追加されました!SplunkはマウスでGUI上でも操作できて便利ですね。しばらくすると横棒グラフが出てきます。

さて、ここでIPアドレストップ20が抽出されました、ここで横棒グラフをグラフ左上のチャートタイプ変更を推して、「マップ」に変更してみましょう。

あれ?おかしいです。地図が真っ白のままで、反映されません。これは困りましたね。 実は地図のための緯度、経度情報が反映されていないのです。 そこでIPアドレスの地理情報を呼び出すコマンドをここで実行します。

iplocation(スペース)clientip ←ipアドレスを持つフィールド名

上記のように地理情報が追加されているのがわかりますね。 右側にlatとlonというフィールド名が追加されていますね。緯度と経度になります。

さて、そこでいよいよ地図を呼び出すコマンドを「|(パイプ)」でつなぎます。UNIX使いの方なら、検索窓にパイプが使えるのはナルホド!と思うでしょう。パイプはその前のコマンド結果をさらに絞り込む、BIツールのドリルダウン機能のような絞り込み検索機能なのです。

geostats(スペース)latfield=lat(スペース)longfield=lon(スペース)count

はい!無事、地図の上に丸いチャートが表示されました!!!

さて、ここで地図チャートのお化粧直しをしましょう。左中辺にグラフとチャート表示メニューがあります。このフォーマットタブをクリックするとカスタマイズメニューが出てきます。

不透明度を50に変更すると、画面にかぶさるチャートが透明になり、下の地図の情報が見やすくなりますね。

さて、自分の「作品」が出来たら、右上のメニューから、「名前をつけて保存」を選択します。レポートで保存してみましょう! そしてレポートを開いたら、右側の「ダッシュボードに追加」で保存してみましょう。

追加が終わりましたら、ダッシュボードを表示します。

おお! 格好いいダッシュボードなりましたね。これで上司にもデータ解析の結果をみせることができますね! Splunkを使いこなしたような気分になってきました!

Splunk Ver.6からオリジナルの地図チャートが表示できるようになりました。 これにより、マシンデータの地域的俯瞰ができるようになります。 BI、DWHのような解析がマシンデータ、セキュリティデータでも使う事ができるようになりました。BIツールなどで採用されているダッシュボードですが、データ量の増加と、製造業のようなグローバル展開などデータの存在場所が拡大しているので、マシンデータでもダッシュボードは有効です。

Splunk ダッシュボードサンプル

Splunk 6.x Dashboard Examples

ダッシュボードとは例えば、サッカーの試合でいえば、中継席からの試合観戦のようなものです。急な試合運びの転換、パスの流れ、選手の動きを見ることができます。それに対し単体のレポートは自分が試合に出た場合、自分の後ろについた敵の選手の行動や、ボールが人に隠れて見失ったりします。このような見過ごしを防ぎ、データの変化にいち早く気が付くためにダッシュボードでデータを俯瞰する事が重要です。

ダッシュボードに地図を入れることにより、人間の地理的認識と実際のデータとの関連づけを直観的に判断する事ができます。ある地域に特定して発生している現象、例えば、ダウンロード数、DDoSアタック送信元、センサーデータなどをリアルタイムで俯瞰することが可能になります。SOC(セキュリティオペレーションセンター)といった部署がある場合は、大きなモニターに地図を映し出している例がよくあります。Splunkの地図機能提供とコマンドにより、収集したマシンデータを地理的に把握する事で、新しいアクションのアイディアが生まれます。

ぜひ、Splunkの中のデータ、フィールドを地図の上に広げて、新しい気づきを体験してみてくださいね。

5分でインストール、Splunkの評価版はこちらから

評価版ダウンロード

それでは、また次回! Happy Splunking!