⼊⼒が追加され、有効になります。
設定ファイルを使ったローカル Windows パフォーマンスモニタリングの設定
inputs.conf がパフォーマンスモニタリングの設定を管理しています。設定ファイルを使ってパフォーマンスモニタリン
グを設定する場合、%SPLUNK_HOME%\etc\system\localに
inputs.confを作成して、それを編集します。Splunk の設定ファイ
ルで初めて作業を⾏う場合は、事前に「設定ファイルについて」をお読みください。[perfmon://<name>]
スタンザは、
inputs.confにパフォーマンスモニタリング⼊⼒を定義します。モニターする各パフォー
マンスオブジェクトに対して、それぞれ 1 つのスタンザを定義します。各スタンザでは、以下の属性を指定することができます。
属性 必
須? 説明
interval はい 新しいデータのポーリングを⾏う頻度を秒で指定します。この属性が指定、定義さ
れていない場合、デフォルト値は存在しないためその⼊⼒は機能しません。
object はい 収集するパフォーマンスオブジェクト。⼤⽂字⼩⽂字の区別も含めて正確に、既存
のパフォーマンスモニターオブジェクトの名前を指定するか、または複数のオブ ジェクトを指定するために正規表現を使⽤します。この属性が指定、定義されてい ない場合、デフォルト値は存在しないためその⼊⼒は機能しません。
counters はい object
に指定されているオブジェクトに関連する、1 つまたは複数の有効なパ
フォーマンスカウンタ。複数のカウンタを指定する場合は、セミコロンで区切りま
す。object
で利⽤できるすべてのカウンタを指定するために、アスタリスク (*) を使
⽤することもできます。この属性が指定、定義されていない場合、デフォルト値は 存在しないためその⼊⼒は機能しません。
instances いい
え counters
に指定されているパフォーマンスカウンタに関連する、1 つまたは複数の
有効なインスタンス。複数のインスタンスを指定する場合は、セミコロンで区切り ます。すべてのインスタンスを指定するには、アスタリスク (*) を使⽤します。スタ ンザ内にこの属性を定義しない場合、デフォルトではすべてのインスタンスが対象 になります (アスタリスク指定と同じ)。
index いい
え パフォーマンスカウンタデータを送るインデックス。指定しない場合は、「default」
インデックスが使⽤されます。
disabled いい
え この⼊⼒に定義されているパフォーマンスデータを収集するかどうか。このスタン ザを無効にするには 1 を、有効にするには 0 を設定します。指定しない場合、デ フォルトの 0 (有効) が使⽤されます。
samplingInterval いい
え 詳細オプション:Splunk がパフォーマンスデータを収集する頻度 (ミリ秒)。
この属性は、⾼頻度のパフォーマンスサンプリングを有効にします。⾼頻度のパ フォーマンスサンプリングを有効にすると、Splunk は指定された間隔でパフォーマ ンスデータを収集し、データの平均値および他の統計情報を報告します。デフォル トは 100 ミリ秒です。また、interval
属性に指定した値未満でなければなりませ
ん。stats いい
え 詳細オプション:⾼頻度のパフォーマンスサンプリングで、Splunk が報告する統計 値のセミコロン区切りリスト。
利⽤可能な値:average, min, max, dev、count。 デフォルトの設定はありません (無効)。
mode いい
え 詳細オプション:⾼頻度のパフォーマンスサンプリングを有効にする場合、この属 性で Splunk によるイベントの出⼒⽅法を制御できます。
利⽤可能な値:single, multikv, multiMS、および multikvMS
multiMS
または
multikvMSを有効にした場合、収集された各パフォーマンス測定基準
に対して 2 つのイベントを出⼒します。最初のイベントは平均値、2 番⽬は統計イ ベントになります。統計イベントは、使⽤する出⼒モードに応じて特別なソースタ イプを保有します (multiMS
の場合は
perfmonMSStats、multikvMSの場合は
perfmonMKMSStats
)。
⾼頻度のパフォーマンスサンプリングを有効にしない場合、multikvMS
出⼒モードと
multikv
出⼒モードは同じです。
デフォルトは single
です。
システム上のローカルディスクからパフォーマンスデータを収集して、それを「perfmon」インデックスに保管す
る、inputs.conf
のセクションの例を以下に⽰します。
# Query the PhysicalDisk performance object and gather disk access data for
# all physical drives installed in the system. Store this data in the
# "perfmon" index.
# Note: If the interval attribute is set to 0, Splunk will reset the interval
# to 1.
[perfmon://LocalPhysicalDisk]
interval = 0
59
object = PhysicalDisk
counters = Disk Bytes/sec; % Disk Read Time; % Disk Write Time; % Disk Time instances = *
disabled = 0 index = PerfMon
# Gather SQL statistics for all database instances on this SQL server.
# 'object' attribute uses a regular expression "\$.*" to specify SQL
# statistics for all available databases.
[perfmon://SQLServer_SQL_Statistics]
object = MSSQL\$.*:SQL Statistics counters = *
instances = *
# Gather information on all counters under the "Process" and "Processor"
# Perfmon objects.
# We use '.*' as a wild card to match the 'Process' and 'Processor' objects.
[perfmon://ProcessandProcessor]
object = Process.*
counters = * instances = *
inputs.conf にパフォーマンスモニターオブジェクトを指定する場合の重要な情報
perfmon キーワードの指定時にはすべて⼩⽂字を使⽤する
inputs.conf
にパフォーマンスモニター⼊⼒を作成する場合、
perfmonキーワードにはすべて⼩⽂字を使⽤する必要があり
ます。以下に例を⽰します。
正しい 誤り
[perfmon://CPUTime][Perfmon://CPUTime]
[PERFMON://CPUTime]
キーワードで⼤⽂字を使⽤、または⼤⽂字⼩⽂字を混在すると、Splunk 起動時にその問題の警告が表⽰され、指定されて いるパフォーマンスモニター⼊⼒は機能しません。
複数数のパフォーマンスモニターオブジェクトを取得する場合は有効効な正規表現を指定する
単⼀のパフォーマンスモニタースタンザ内に複数のオブジェクトを指定する必要がある場合、有効な正規表現を使ってそ れらのオブジェクトを取得する必要があります。たとえば、⼀定の⽂字数を超える⽂字列と⼀致するワイルドカードを指 定するには、*
ではなく
.*を使⽤します。オブジェクトにドル記号または類似の特殊⽂字が含まれている場合は、円記号
(
\)、またはバックスラッシュを使ってエスケープ処理する必要があります。
上記の場合を除いて、値はパフォーマンスモニター API に定義されている通りに正しく指定する必要があります
[perfmon://]
スタンザに
object、counters、および instancesの値を指定する場合、それらの値は⼤⽂字⼩⽂字の区別も含
めてパフォーマンスモニター API に定義されてい通りに正確に指定する必要があります。そうしないと、誤ったデータが 返されるか、またはまったくデータが返されません。指定したパフォーマンスオブジェクト、カウンタ、またはインスタ ンス値に⼀致する項⽬が⾒つからない場合、その旨が splunkd.logに記録されます。例:
01272011 21:04:48.681 0800 ERROR ExecProcessor message from ""C:\Program Files\Splunk\bin\splunkperfmon.exe" -noui" splunk-perfmon - PerfmonHelper::enumObjectByNameEx: PdhEnumObjectItems failed for object - 'USB' with error (0xc0000bb8): The specified object is not found on the system.
正しくオブジェクト、カウンタ、およびインスタンスを指定する最良の⽅法は、Splunk Web を使ってパフォーマンスモ ニターデータ⼊⼒を追加することです。
WMI を介したリモート Windows パフォーマンスのモニタリングを有効
効にするSplunk Web を使って、または設定ファイルを編集して、リモートのパフォーマンスモニタリングを設定することができ
ます。WMI 経由でパフォーマンス測定基準を収集する場合、リモートのパフォーマンス測定基準コレクションにアクセスするた
めの、適切な権限を持つ Active Directory ユーザーとして Splunk を実⾏する必要があります。それらの測定基準の収集 を試みる前に、この作業を実施する必要があります。Splunk を実⾏するマシンと、Splunk がリモートにパフォーマンス データを収集するマシンは、同じ Active Directory ドメイン/フォレスト内に存在している必要があります。注意: WMI は設計上、サービス拒否攻撃を防⽌するために⾃⼰抑制を⾏います。Splunk も WMI 呼び出しがエラーを返 した場合の追加的な予防⼿段として、呼び出し数を抑制します。ネットワークのサイズ、設定、およびセキュリティプロ ファイルによっては、パフォーマンス測定基準を収集するシステム上に、ローカルにフォワーダーをインストールする⽅
が適していることもあります。詳細は、このマニュアルの「リモート Windows データのモニター⽅法決定の検討事項」を 参照してください。