Splunk

スプランク
こちらの製品に関するお問い合わせはこちらから
資料請求 お問い合わせ
MENU

Splunk

スプランク

FAQ

Splunkとは?

Splunkって何?
ITサーチエンジンです。Splunkを使用すれば、ITインフラが出力するログデータやコンフィグレーションファイルなどのITデータをリアルタイムで検索し、容易に見つけ出すことができるようになります。Splunkはログデータや、アプリケーション、サーバ、ネットワーク機器が出力するデータに対し、リアルタイム検索を可能にするインデックスを作成します。
Splunkはサービスですか、アプライアンスですか、それともソフトウェアですか?
企業内のシステムやデータセンターなどにあるハードウェアとオペレーティングシステム上で動作するソフトウェア製品です。
Splunkはどのような問題を解決できますか?
運用コストの削減やコンプライアンスへの適合などを実現しながら、アプリケーション、サーバ、ネットワーク、eメールサービスなどの可用性を向上させます。
誰がSplunkを使うのですか?
ヘルプデスクの方々からシステム管理者や開発担当の方々など、ITデータに関わる方、現在ITデータをマニュアルで処理している方すべてが対象になります。さらにサポート担当の方々やコンプライアンス担当、ビジネスユーザなど、ログ内のデータを見るためにエスカレーションを必要とする方々もSplunkを利用することで、自分に必要なデータだけを自ら見ることができるようになります。
Splunkはどんな用途で使われることが多いですか?
運用管理やトラブルシューティングの効率化、セキュリティ、コンプライアンス、ビジネスインテリジェンスなどの用途で使用されます。
Splunkはオープンソースですか?
オープンソースではありませんが、フリーライセンス版があります。また開発者にはAPIを提供します。加えて、SplunkBaseと呼ばれるSplunkアプリケーションのダウンロードサイトでは、多くの有用なアプリケーションが、クリエイティブコモンズライセンスの下で提供されています。
フリー版ライセンスとエンタープライズ版ライセンスの違いは何ですか?
フリー版ライセンスでは、1日あたり500MBまでのデータを取り込むことができます。エンタープライズ版ライセンスでは、さらに多くの容量のデータ取り込みが可能となる上に、利用できる機能の追加や、サポートを受けることができるようになります。
分散したデータの横断的な検索やクラスタリングをしたい、また、アクセスコントロールや複数のユーザアカウントを設定したい、というご要望がある場合には、エンタープライズ版ライセンスをご利用ください。

価格情報について

Splunkエンタープライズ版の価格はどれくらいですか?
年間ライセンスと永久ライセンス(買い切り)の2種類あります。サイジングはお客様の取り込みデータ容量によって変わります。お客様のご利用環境に応じて、マクニカネットワークスがライセンス、保守、サポートをご提供しますので、まずはお問い合わせください。

Forwarderについて

Universal ForwarderとLight Forwarderの違いは?

Universal ForwarderとLight Forwarderインストーラーが異なります。
Universal Forwarderは、データの収集および転送に特化した機能が提供される小さいサイズのインストーラーとなり、Light Forwarderは通常のインデックスサーバと同じインストーラーになります。

転送時にデータの一部をマスク化したり、高度なフィルタ処理を行う場合には、Light Forwarderの利用が必要です。
シンプルにデータ収集・転送を行う場合には、Universal Forwarderの利用がお勧めです。

尚、下記に各Forwarderの違いについて記載がございますので、ご参照いただければと 存じます。

http://docs.splunk.com/Documentation/Splunk/latest/Forwarding/Typesofforwarders

インストール時の注意点について

Splunkのインストールにどれくらい時間がかかりますか?
インストールモジュールは、msi、rpm、deb、dmgなどの形式で提供されており、OS標準のインストーラーを使って数分でインストールできます。Splunkは外部パッケージを必要とせず、自身のディレクトリにクリーンにインストールされます。データ入力の設定は、Splunk Webからウィザードにしたがって、プレビューしながら、簡単に設定できます。
運用システムやアプリケーション、ネットワークに対するSplunkの影響はどのようなものがありますか?またメモリはどれくらい使用しますか?
例えばsyslogを経由したネットワークロギングなどが既に設定されているのであれば、Splunkを運用システム上に展開する必要はありません。ローカルでログファイルを読み取るようにするためにSplunkを運用システム上にインストールするのであれば、CPUとネットワークに対する専有の度合いは、同じファイルをtailしてnetcatへの出力にパイプするのと同程度になります。ファイルをtailしてそれらをネットワークにフォワードするためのSplunk Universal Forwarderのメモリフットプリントは、参照するファイル数に依存しますが常駐メモリで100MB程度です。

システム要件について

Splunkは複数CPUやマルチコアであればパフォーマンスは高くなりますか?
Splunkはマルチプロセス、マルチスレッドを活用して動作します。複数コアであれば、より高いパフォーマンスが期待できます。
Splunkはどのプラットフォーム上で動作しますか?

Linux、Windows、OS X(Mac OS X)など複数のOSに対応しています。

詳細はこちらをご覧ください。
Splunkはエージェントを必要としますか?

エージェントのようなプログラムは必須ではありません。

SplunkはさまざまなフォーマットのITデータを特別なアダプタを用意することなく、あらゆるフォーマットのログデータを読み取り、インデックスを作成することができます。SplunkはsyslogやSNMP、あるいはrsyncでミラーされたファイルを読み取ったり、scpやftpでセンターのログホスト上にローテートされるファイルを読み取ったりすることにより、リモートからのデータを取得できます。

お客様の環境に、リモートからデータを収集する仕組みが無い場合などには、Splunk Universal Forwarderをご利用いただく事もできます。この場合でも、フォーマットに合わせた開発などは不要です。

データの取り込みについて

SplunkでシフトJISのログファイルを取り込むために必要な設定は?

シフトJIS形式のログファイルを取り込むためには、あらかじめエンコーディング種類を指定する設定ファイルを作成する必要があります。

  • まず、取り込むログファイルに設定予定の「ソースタイプ」を決めます。例えば、Webアプリケーションであれば、「webapp」のようにします。
  • Splunkのインストールフォルダ以下の「system\local」フォルダに、「props.conf」ファイルを作成し、次のように入力します。
    [webapp]
    CHARSET=SHIFT-JIS
    ※上記の設定は、ソースタイプに、webappと指定されたファイルを読み込む際SHIFT-JISから内部処理に利用するUTF-8へ明示的に変換を行う事を示しています。同様に、EUC-JPのログファイルの場合、CHARSET=EUC-JP とします。
  • props.confで設定を入力してから、Splunkの再起動、もしくは、検索コマンド「| extract reload=t」にて、上記の設定を反映させてください。
    ※直接 props.conf を編集した際に、「| extract reload=t」を検索コマンドとして入力して検索する事で、設定ファイルが読み込まれ、反映されます。
  • Splunkの管理画面、データ入力にてログファイルを指定する際に、「ソースタイプのセット」にて【手動】を選択します。そして「ソースタイプ」には、上記のprops.confにて指定したソースタイプを入力します。この例では、「webapp」と入力します。

なお、上記の設定がされていない状態で取り込んだために発生した文字化けは解消されません。お手数ですが、再度、イベントを取り込んでいただく必要があります。

特定の文字を含むデータは取込まないことができますか?

インデックスサーバ側での制御によって可能です。
設定は、「props.conf」と「transforms.conf」という2つの設定ファイル にて行います。

下記はサンプルの設定です。

----------------------------------------
■props.conf
[wmi]
TRANSFORMS-test=testnull
----------------------------------------

※wmiはソースタイプになりますので、お客様の環境にあわせて、設定いただく必要があります。

----------------------------------------
■transforms.conf
[testnull]
REGEX=^EventCode=(592|593)
DEST_KEY=queue
FORMAT=nullQueue
----------------------------------------

※testnullは、props.confの設定の定義と紐づける必要があります。
※REGEXでは正規表現で取り込みたくないイベントのパターンを指定します。例では、ログにEventCode=592、もしくはEventCode=593が存在する場合には取り込まないという設定になります。
※DEST_KEYとFORMATの設定箇所はそのままご使用ください。

上記設定後、インデックサーバを再起動してください。

Splunk特有の用語について

アトリビュート(Attribute)

設定ファイルのスタンザの下に指定できる各種パラメーターです。

key=valueの形で記載します。設定ファイルによって指定できるアトリビュートは異なり、またアトリビュートによって指定できる値も異なります。

インデクサー(Indexer)
分散サーチ環境(Splunk Enterpriseをインストールしたサーバ2台以上で構成している環境)で、データを保存(インデックス)する役割を持ったSplunkサーバをインデクサーと呼びます。
サブサーチ(Sub Search)

サブサーチとは検索の結果を使って新たな検索を行ったり、複数の検索の結果を結合する際に利用する検索のテクニックです。

サブサーチは、角括弧"[]"で囲んで指定します。例えば、ファイアーウォールのログで、通信データ量が最大の通信元IPについて、通信先IPと通信量の内訳を調査する場合のようなケースで利用します。

サーチヘッド(Search head)
分散サーチ環境(Splunk Enterpriseをインストールしたサーバ2台以上で構成している環境)で、サーチ処理を管理する役割を持ったSplunkサーバをサーチヘッドと呼びます。
スタンザ(Stanza)
Splunkの設定ファイルにて、各設定の名前や、各設定を反映させたい対象を定義するものです。[]で括り、括弧内に指定できる内容は設定ファイルによって異なります。
ダッシュボード(Dashboard)

1つもしくは複数のパネルで構成され、表やグラフなどを一覧表示するための機能です。

入力ボックスやドリルダウンの機能をダッシュボードに持たせ、動的に表示内容を変化させることが可能です。simpleXMLというSplunkオリジナルのコードや、HTMLを利用することにより、表示形式を変更することも可能です。

データモデル(Data model)

データモデルとは、1つ以上のデータソースを基に、意味のある検索単位をまとめた階層構造を持った分析モデルです。

階層構造とは、以下のように基準となる親検索を作成し、その検索から派生した意味のある検索(子検索)で構成されます。

  • 親:Webサーバのアクセスログ
    1. 子:夜間の通信
    2. 子:昼間の通信
    3. 子:××を実施している通信
※親検索、子検索ともに、任意のフィールドを選択できるよう定義します。(接続先ドメイン、社内IP、送信バイト数、接続先の国情報など)

データモデルを作成することにより、例えば「夜間」で最も多い「接続先ドメイン」が何か調査する場合でも、Splunkコマンドを使わず、GUI操作(Pivot)で結果を得ることが可能です。つまり、データモデルを作成することで、特別な知識や技能を持たなくとも、データを分析する環境を用意することが可能となります。

なお、作成したデータモデルの高速化設定を有効にすると、通常の検索よりも最大1000倍高速に結果を得ることが出来ます。

パネル(Panel)

ダッシュボード上にグラフや表を配置する際の一区画のことを指します。

1つのパネルに複数のグラフを配置することができます。ダッシュボード上から新規のパネルを作成したり、内容の編集を行うことができます。

フォワーダー(Forwarder)
分析対象データを収集し、Splunkサーバへ転送する機能を持ったエージェントをフォワーダーと呼びます。