• 検索結果がありません。

Splunk6.0 クィックスタートガイド マクニカネットワークス株式会社 第 1 版発行

N/A
N/A
Protected

Academic year: 2021

シェア "Splunk6.0 クィックスタートガイド マクニカネットワークス株式会社 第 1 版発行"

Copied!
44
0
0

読み込み中.... (全文を見る)

全文

(1)

マクニカネットワークス株式会社

第 1 版発行

2014.1.15

(2)

2

目次

1

はじめに ... 3

1.1

本書の目的 ... 3

2

基本情報... 4

2.1

システム要件 ... 4

2.2

Splunk Web の主な画面構成 ... 6

3

基本操作... 8

3.1

インストール方法 ... 8

3.2

各種機能の基本操作 ... 9

3.2.1 データの取り込み ... 9

3.2.2 検索 ... 23

3.2.3 アラート ... 27

3.2.4 フィールド ... 30

3.2.5 レポート ... 34

3.2.6 ダッシュボード ... 38

4

参考情報... 43

4.1

お問い合わせ窓口... 43

(3)

1 はじめに

1.1 本書の目的

本書は、IT データエンジンである Splunk 入門ガイドです。これから Splunk を評価される方が本書を参照しながら、 Splunk のインストール方法や基本的な設定方法をご利用頂けることを目的とした評価支援資料です。

※ 本書に記載の内容は Splunk Version 6.0.1 での仕様をもとに作成しております。また、本書に記載の内容は 評価向けにカスタマイズしたものです。実際の本番環境での運用には適さない設定を含むため、実際の運用 向け設定については弊社までお問い合わせください。

(4)

4

2 基本情報

2.1 システム要件

Splunk Version 6.0.1 のシステム要件は次の通りです。 ※ 本書では代表的なオペレーティングシステムについて記載しております。実際に本番環境へ導入される際の推 奨構成については弊社へお問い合わせください。 ■Splunk インデックスサーバー、フォワーダーのオペレーティングシステム オペレーティングシステム アーキテクチャ インデックスサ ーバー ユニ バーサル フォワーダー Solaris 10, and 11* *11(32bit)はサポートしません。 x86 (64-bit) ○ ○ SPARC ○ ○ x86 (32-bit) ○* * Linux, 2.6+ x86 (64-bit) ○ ○ x86 (32-bit) ○ ○ x86 (32-bit) ○ ○ x86 (32-bit) ○ ○

Mac OS X 10.7 all (Intel) ○ ○

Windows Server 2003 and Server 2003 R2 x86 (64-bit) ○ ○

x86 (32-bit) ○ ○

Windows Server 2008 and Server 2008 R2 x86 (64-bit) ○ ○

x86 (32-bit) ○ ○

Windows Server 2012 x86 (64-bit) ○ ○

■サポートしているクライアントのブラウザ

 Firefox 10.x 以降

 Internet Explorer 7, 8, 9, and 10

 Safari (最新版)

 Chrome (最新版)

※ JSChart モジュール(JavaScript ベースのグラフ生成ライブラリ)非対応のブラウザを使用する場合には、 Adobe Flash(最新版) が必要となります。

(5)

■推奨ハードウェアスペック  インデックスサーバー用 Windows, 非 Windows 共通

2×six-core, 2.5GHz 以上, 16GB RAM, RAID 0 or 1+0 (64bit OS 使用を前提), 15000rpm, 800IOPS 以上 Splunk インストール(Forwarder 含む)に最低 5GB のハードディスクスペースが必要になります。 ※ 運用をする際の推奨スペックの目安です。評価環境では上記スペック以下の環境でも動作いたします。 ※ Splunk は仮想マシン上でも動作します。仮想マシンで動作させる場合は、パフォーマンスの観点で推奨ハード ウェアスペックに+30%したスペックを確保頂くことをお勧めします。特にディスク I/O 性能は物理マシンの推奨 スペックと同等以上をご用意いただくことをお勧めします。  ユニバーサルフォワーダー用

Dual Core 1.5GHz 以上, 1GB RAM 以上

■サポートしているファイルシステム

プラットフォーム ファイルシステム

Linux ext2/3/4, reiser3, XFS, NFS 3/4

Solaris UFS, ZFS, VXFS, NFS 3/4 FreeBSD FFS, UFS, NFS 3/4, ZFS Mac OS X HFS, NFS 3/4 AIX JFS, JFS2, NFS 3/4 HP-UX VXFS, NFS 3/4 Windows NTFS, FAT32 ※ NFS は非推奨です。 ※ FreeBSD では、nullfs でのマウントはサポートされません。

(6)

6

2.2 Splunk Web の主な画面構成

Splunk Web(Splunk のユーザーインターフェイス)にて検索する画面、管理する画面の主な画面構成について説 明致します。 (1) ログイン後の画面サンプル ログイン後に表示される画面です。管理設定や検索へ遷移できます。 (2)管理設定へ プルダウンから「サーチとレポート」 を選択して、(3)検索へ

(7)

(2) 管理設定プルダウンサンプル 画面上部の「設定」をクリックして、設定管理用のプルダウンを表示します。 このプルダウンから、検索に関する設定や Splunk サーバー自体の設定など各種設定画面へ移動することがで きます。 (3) 検索画面サンプル 画面上部の「App」>「サーチとレポート」にて表示される画面です。 この画面の「データサマリー」ボタンをクリックすると、 取り込まれたデータをソース、ソースタイプ、ホストの単位で確認することができます。 検索ボックス:キーワードを入力して検索を開始します。 データの取り込み設定へ

(8)

8

3 基本操作

3.1 インストール方法

(1) 以下のサイトよりインストールファイルをダウンロードしてください。(ログインが必要となります) http://www.macnica.net/splunk/tech.html (2) rpm コマンドを実行してインストールを行います。コマンド rpm –i を使用してインストールしてください。 実行例) rpm – i splunkXXXXXX.rpm ※ インストールが完了するとデフォルトで/opt/splunk ディレクトリに Splunk がインストールされます。 ※ /opt/splunk ディレクトリ以外のディレクトリに Splunk をインストールする場合、下記の実行例ように prefix パラメータにディレクトリを指定する必要があります。

rpm -i --prefix=/opt/new_directory splunk-XXXXXX.rpm

(3) 下記のコマンドを実行し、splunk を起動します。 /opt/splunk/bin/splunk start

(4) Web ブラウザの URL に SplunkWeb の URL を入力し、Splunk にログインし、Splunk が起動している事を確 認します。※ Enterprise 版のデフォルトのユーザーアカウントは admin/changeme です。

http://<Splunk サーバの IP アドレス or ホスト名>:8000

【注意事項】

Linux 環境で SELinux が有効の場合、Linux の環境によっては、SELinux が Splunk の実行を許可しない場合 があります。その場合には、SELinux に Splunk を実行可能なアプリケーションとして追加する必要があります。 (SELinux が無効の場合、本手順は不要です。)

1) SELinux に Splunk の実行を許可するために、Splunk の lib ディレクトリに対して、chcon コマンドを実行し ます。

実行例) chcon -c -v -R -u system_u -r object_r -t lib_t /opt/splunk/lib 2>&1 > /dev/null

2) Splunk の 起 動 時 の Splunk の SELinux の チ ェ ッ ク を 無 効 に す る た め に 、 下 記 の 一 行 を /opt/splunk/etc/splunk-launch.conf に追加してください。 SPLUNK_IGNORE_SELINUX=1 前提 本章では次の条件下で検証環境を構築することを想定して説明をしています。 ・Linux へ Splunk をインストールする ・OS 付属のファイアウォール及び SE Linux は無効にする ・Splunk をインストールするサーバーのタイムゾーンは日本/東京にする

(9)

3.2 各種機能の基本操作

3.2.1 データの取り込み Splunk は多様な方法でデータを取り込むことができます。ここでは 3 種類のデータの取り込み方法について説明し ます。 (1) ファイルのアップロードによるデータ取り込み 最もシンプルなデータの取り込み方法です。検証や評価目的で Splunk にログを取り込ませるのに適した方法で す。データの取り込みは手動で行う必要があります。 1) 「設定」プルダウンの「データ入力」 → 「ファイル&ディレクトリ」にて「新規追加」をクリックして新規のデータ 取り込み方法を作成します。 2) ここでは、「プレビューをスキップ」を選択し、「続行」を選択します。 注意事項 Splunk がデータを取りこむ際に、以下のような場合は追加の設定が必要になってきます。  取り込むログのイベントのタイムスタンプが UTC(協定世界時)を使っており、Splunk サーバーのシ ステム時刻のタイムゾーンと異なる場合。  取りこむログのイベントの文字コードが UTF-8 以外の場合。 追加の設定については「(4) データ取り込み時の注意事項」をご参照ください。

(10)

10 3) ソース、ホスト、ソースタイプの設定を行い、「保存」をクリックしてデータの取り込みを行います。 ソース、ホスト、ソースタイプ Splunk がデータを取り込む時に設定が必要な定義属性です。それぞれが定義している内容は次の 通りです。「例」の内容は本項での該当内容です。  ソース・・・どこから取り込んだデータか (例:SplunkWeb を起動しているマシン上にある firewall.txt)  ホスト・・・どのホストから出力されたのか (例:FW01)  ソースタイプ・・・データをどのように解釈するか (例:firewall) ログの種類を判別するための名称を入力します。 「マニュアル」を選択します。 アップロードするログファイルを指定します。 データを出力したホスト名を入力します。 「定数値」を選択します。

(11)

4) 画面上部の「App」>「サーチとレポート」を選択します。

(12)

12 (2) ファイル、ディレクトリ監視によるデータ取り込み Splunk は手動でアップロードされたデータだけでなく、指定したファイルやディレクトリを監視して、追加データが 発生すると自動的にデータを取り込むことができます。本項ではデータを継続的に取り込む設定を行います。 1) 「設定」プルダウンの「データ入力」> 「ファイル&ディレクトリ」にて「新規追加」をクリックして新規のデータ取 り込み方法を作成します。 2) ここでは、「インデックス作成前にデータをプレビュー」を選択し、実際にデータの取込みを開始する前にプレ ビュー画面上で確認しながら取り込む方法を選択します。「サーバーを参照」ボタンから任意のファイルを選 択し、「続行」ボタンをクリックして次の画面に進みます。

(13)

3) 「ソースタイプの設定」画面では下記のように「新しいソースタイプの開始」を選択し、「続行」をクリックします。

4) 「データのプレビュー」画面ではタイムスタンプの認識が正しいことを確認し、「続行」をクリックします。 ※ ここでタイムスタンプが異なっていたり、文字化けが発生していたりする場合は追加の設定で補正できます。

(14)

14

5) 「設定のレビュー」画面でソースタイプを設定します。ここではソースタイプを「proxy」とします。「新しいソース タイプの名前を指定」に「proxy」と入力し、「ソースタイプの保存」をクリックします。

(15)

7) 下記のような設定を行い、「保存」をクリックしてデータの取り込みを行います。 監視対象としたファイル(またはディレクトリ) が入力されている事を確認します。 「その他の設定」にチェックが入ってい る事を確認します。 監視対象のホスト名を入力します。 作成したソースタイプ「proxy」が入力さ れている事を確認します。 自動的に取り込む設定にするので、「この Splunk がアクセスできるファ イルやディレクトリから継続的にインデックスを作成」を選択します。

(16)

16 8) 「App」>「サーチとレポート」より、サーチ画面に移動して、ログが取り込まれていることを確認します。 監視しているログファイル(もしくはディレクトリ)にイベントが追加されると、Splunk は自動的に取り込み、カ ウントが増えていきます。 指定したホスト名が表示されます 指定したソースタイプが表示されます データが追加され、Splunk が取り込んだら、 Count が増えます。

(17)

(3) ネットワークからのデータ取り込み

Splunk が Listen している TCP/UDP ポートにテキスト形式のデータ(Syslog のメッセージなど)が転送されると Splunk は自動的にデータを取り込みます。Syslog サーバーのような構成イメージでログを取り込むことができま す。ここでは例として UDP ポートで Syslog を取り込む場合の設定を説明します。 1) 「設定」プルダウンから「データ入力」をクリックし、「UDP」を選択して新規のデータ取り込み方法を作成しま す。 ※FTP は Splunk で直接取り込むことができません。 2) 下記のような設定を行い、「保存」をクリックしてデータの取り込みを行います。 ログの種類を判別するための名称を入力します。 「マニュアル」を選択します。 Splunk が Listen するポート番号を指定します。

(18)

18

3) Splunk が指定したポートからデータを取り込むことを確認します。

※ ネットワークポートからデータの取り込みを行う際に、インストールした Splunk サーバー上で指定したネットワ ークポート番号が Open である必要があります。Splunk でデータの取り込みが確認できない場合は、システ ムの Firewall の設定などをご確認ください。

※ Splunk が Listen しているポートからデータを取り込む場合、Listen しているポートにテキストデータが送られ てくる必要があります。FTP や SNMPTrap のようなデータが送られた場合、Splunk は解釈できないため、想 定通りの取り込みが行われません。

(19)

(4) データ取り込み時の注意事項 Splunk がデータを取りこむ際に、以下のような場合は追加の設定が必要になります。  取り込むログのイベントのタイムスタンプが UTC(協定世界時)を使っており、Splunk サーバーのシステム 時刻のタイムゾーンと異なる場合。  取りこむログのイベントの文字コードが UTF-8 以外の場合。 ここでは、追加の設定として次の2つの方法を説明します。  タイムゾーンを指定する方法  文字コードを指定する方法 タイムゾーンを指定する方法 取り込むログのイベントのタイムスタンプが UTC(協定世界時)を使っており、Splunk サーバーのシステム時刻 のタイムゾーンが JST(日本標準時)を利用している場合にタイムゾーンを指定する方法を説明します。

1) 管理>「データ入力」>「ファイル&ディレクトリ」>「新規追加」を選択して、「Preview data before indexing」 にてデータを取り込みます。

※ 詳細な手順は「(2)ファイル、ディレクトリ監視によるデータ取り込み」をご参照ください。

2) Data Preview 画面でタイムスタンプを確認します。取り込んだデータの時刻は UTC で記録されていますが、 Splunk はその時刻を JST として認識してしまっているので補正します。補正するには、「タイプスタンプおよびイ ベント改行設定を調整します.」のリンクをクリックします。 UTC のタイムスタンプのままになっているので、「タイプスタンプおよびイベ ント改行設定を調整します.」のリンクをクリックして補正します。 Splunk が認識した タイムスタンプ 生ログに記録されている タイムスタンプ(UTC)

(20)

20

3) 次の手順でタイムゾーンを指定します。 ① 「タイムスタンプ」タブをクリックします ② 「タイムゾーンを指定」にチェックを入れます

③ プルダウンから任意のタイムゾーン(ここでは「(UTC) Coordinated Universal Time」)を選択します ④ 「適用」ボタンをクリックします 4) 「適用」ボタンをクリックしたことにより、プレビュー画面のタイムスタンプ時刻が更新されたことを確認します。 5) ここで追加の設定を完了する場合は「続行」をクリックしてデータを取り込みの設定を続けます。 ※ 詳細な手順は「(2)ファイル、ディレクトリ監視によるデータ取り込み」をご参照ください。 ① 「タイムスタンプ」タブを選択します。 ②「タイムゾーンを指定」にチェックを入れます。 ③タイムゾーンを 選択します。 ④「適用」ボタンをクリックして、設定 内容をプレビューします。 ログの時刻が UTC として認識され、Timestamp が 9 時間プラスされる事を確認します。

(21)

文字コードを指定する方法 取り込むログのイベントが文字コードとしてシフト JIS 形式を利用している場合に文字コードを指定する方法を説 明します。 1) 設定プルダウンより「データ入力」>「ファイル&ディレクトリ」>「新規追加」を選択して、「インデックス作成前 にデータをプレビュー」にてデータを取り込みます。 ※ 詳細な手順は「(2)ファイル、ディレクトリ監視によるデータ取り込み」をご参照ください。

2) 取り込んだデータの文字コードはシフト JIS 形式ですが、Splunk は UTF-8 形式で取り込んだため、文字化け が発生しています。そのため、文字コードの設定をします。 3) 文字コードの設定は、設定ファイル「props.conf」を編集する必要があるため、下記のように「詳細モード (props.conf)」タブをクリックし、「追加設定 (優先設定)」へ「CHARSET=SHIFT-JIS」の一文を追記して「適 用」ボタンをクリックします。 ※同様に、EUC-JP のログファイルの場合、CHARSET=EUC-JP とします。 「詳細モード (props.conf)」タブをクリッ クします。 文字コードの設定を追記します。 「適用」ボタンをクリックすることで、設 定内容をプレビューします。

(22)

22

4) 再度プレビュー画面上で文字コード変換が正しく行われている事を確認します。

6) ここで追加の設定を完了する場合は「続行」をクリックしてデータを取り込みの設定を続けます。 ※ 詳細な手順は「(2)ファイル、ディレクトリ監視によるデータ取り込み」をご参照ください。

(23)

3.2.2 検索 Splunk は多様な方法でデータの検索を行うことができます。ここでは基本的なデータの検索方法をいくつかご紹介 いたします。 (1) キーワードによる検索 「App」>「サーチとレポート」より、検索画面から検索ボックスに「error」などの文字列を入力します、検索ボタン をクリックします。。 入力したキーワードにヒットするデータを抽出します。

(24)

24 (2) 検索キーと演算子によるデータ検索 1) ワイルドカードの使用例 Error* (文字列 Error の後に任意の文字列が存在するデータの絞りこみ検索) 2) クォーテーションの使用例

“foo bar” (文字列 foo bar を含むデータの絞り込み検索) 3) 演算子の使用例 【実行例】 xxx OR yyyy xxx AND yyyy xxx NOT yyyy ※ 演算子は大文字でなければなりません。 下記は実行例です。AND 条件を使用しているので、2 つの検索文字が含まれるデータが抽出されています。

(25)

(3) 検索対象のログの絞り込み データの取り込み時に指定した sourcetype や host でデータの絞り込みが行えます。 検索画面からソースタイプのリンクをクリックします。 検索ボックスに「sourcetype=proxy」が入力され、ソースタイプを「proxy」としたデータが抽出されます。 検索画面のリンクからではなく、検索ボックスに直接「sourcetype=xxxx」や「host=xxxx」を入力しても該当する データが抽出されます。 クリックします

(26)

26 (4) 時間指定によるデータ検索 抽出したデータのタイムラインで、詳しく確認したい範囲をドラッグし、「選択項目にズーム」をクリックします。 選択したタイムラインへズームされ、より詳細なイベントの分布を確認できます。 ドラッグだけでなく、下図のようにプルダウンから時間範囲を指定することもできます。 ドラッグで範囲を選択 します。

(27)

3.2.3 アラート 特定パターンのイベントや、攻撃に対してリアルタイムもしくは定期的に自動検索して、アラートを発報することがで きます。ここでは 1 時間ごとに Firewall の Deny イベントが 5 件以上ある場合メールで通知する設定を行います。 1) まず、SMTP サーバーの設定をします。 「管理」>「システム設定」>「アラートのメール設定」をクリックします。下記のように SMTP サーバーの設定 を行い、「保存」をクリックします。 SMTP サーバーを指定します。 アラートメールに含む項目を設 定します。

(28)

28 2) 次にアラート条件を定義します。「App」>「サーチとレポート」よりアラート対象となる検索式を入力します。 ここでは、firewall の Deny イベントを取り込んだ場合にアラートする設定を作成します。 3) 「名前を付けて保存」のプルダウンから「アラート」を選択します。 4) 「アラートとして保存」で下記のように設定して、「次へ」をクリックします。 「アラート」を選択します。 スケジュール検索の実行間隔を設定します。 この設定では 1 時間ごとに検索を実行します。 アラートを作成する条件を設定します。 スケジュール実行された検索の結果がこの条件を 満たしたときアラートが作成されます。 この設定では検索結果が 4 件より大きい(5 件に 達した)場合にアラートが作成されます。

(29)

5) 下記のように設定して、「保存」をクリックします。 6) 新しいアラートが正常に保存されたことを確認して、「アラートの表示」をクリックします。 7) アラート対象のイベントが発生した後、アラートメールが着信することを確認します。 「メール送信」を選択します。 アラートを送信する宛先メールア ドレスを入力します。 「プライペート」を選択します。 ※この設定を作成したユーザーのみ 実行する設定にします。

(30)

30 3.2.4 フィールド

フィールドとはレポート対象となる項目の名前と値のペアです。例えば host=foo は host がフィールド名で foo が値 となります。Splunk が取り込んだデータの中に xxxx=yyyy のペアがあればフィールドが自動的(※)に抽出されます。 ここではフィールドをレポート対象として登録する設定方法について説明致します。 ※ 「スマートモード」のときのみ、自動的に抽出されます。デフォルトではスマートモードになっています。 (1) フィールドの設定 1) レポート対象としたいフィールドを選択します。 2) 下記のように追加したフィールドが表示されます。 対象としたいフィールド を選択します。 フィールドを自動的に 抽出します。 「選択済み」を「はい」とすると、選択したフ ィールドが表示されます。(表示位置は次 の画像を参照) 追加したフィールドが、 表示されます。 選択したフィールドが追加 されます。

(31)

(2) フィールドの抽出 Splunk は正規表現で抽出しているので、自動抽出されていないフィールドを手動で抽出することができます。こ こでは、SplunkWeb からフィールドを抽出する方法について説明致します。 1) レポート対象としたいログの矢印をクリック後、「イベントアクション」>「フィールドの抽出」をクリックします。 各 ロ グ の 「 フ ィ ー ル ド の 抽 出」を選択します。

(32)

32 2) フィールドを抽出する正規表現の設定をします。 ① フィールドとして抽出したい値をサンプルのイベントから貼り付けます。 ② 「生成」をクリックします。 ③ 抽出されたイベントが適切か確認します。 ④ 生成した正規表現が正しければ「保存」をクリックします。

3) 任意のフィールド名を設定します。ここでは例として「client_ip」とします。 ※ フィールド名は半角英数字とアンダーバーのみで入力してください。 ①フィールドとして抽出したい値をサンプルのイ ベントから貼り付けます。複数値がある場合は、 改行して複数入力することで正規表現の精度が 上がります。 ②「生成」をクリックすると、条件に合致 した正規表現が生成されます。 ③抽出されたイベントが適切か確認します。 不適切なイベント含まれていたら、①に戻 り、フィールド値の例を増やします。 生成 され た正 規表 現が適 切ではない場合、「編集」を クリックして正規表現を手動 で変更することも可能です。 ④生成した正規表現が正しければ「保 存」をクリックします。

(33)
(34)

34 3.2.5 レポート Splunk は検索結果を多様な方法でレポート表示することができます。ここでは代表的な時系列のレポートとイベン ト数のレポートの保存方法について説明致します。 1) まず時系列のレポートを作成します。レポート表示させたい検索結果画面から任意のフィールドを選択します。 ここではフィールド「client_ip」を選択します。展開されたウィンドウから「時間別トップ値」をクリックします。 2) 下記のような横軸が「時刻」、縦軸が「カウント数」のグラフが表示されます。「名前を付けて保存」>「レポート」 を選択して、検索式を保存します。 「時間別トップ値」をクリックします。 「client_ip」から統計 情報を展開します。 「レポート」を選択します。

(35)

3) タイトルに任意の名前を付け、「保存」>「表示」をクリックします。

(36)

36 5) 次に、カウント数のレポートを作成します。検索ボックスの内容を「sourcetype=proxy」に戻してイベントリスト を表示させ、同様にフィールド「client_ip」を選択して、展開されたウィンドウから「トップ値」をクリックします。 6) グラフの種類を変更できます。ここではグラフの種類として「円」を選択します。 「トップ値」をクリックします。 「円」を選択します。 「client_ip」から統計情報を展開 します。 「sourcetype=proxy」に戻して、イベントリストを表 示させます。

(37)

7) 「名前を付けて保存」>「レポート」を選択して、検索式を保存します。

8) 検索式に任意の名前を付け、「保存」>「表示」をクリックします。

9) 上部メニューバー「レポート」から、保存したレポートが選択できるようになったことを確認します。 「レポート」を選択します。

(38)

38 3.2.6 ダッシュボード Splunk は保存された複数のレポートをダッシュボードとして保存しておくことができます。ここでは簡易的なダッシュ ボードの作成方法について説明致します。 1) 上部メニューバー「ダッシュボード」をクリックします。 2) 「新しいダッシュボードの作成」をクリックします。 3) 任意の「タイトル」、「ID」を入力し、「ダッシュボードの作成」をクリックします。 (※ ID は半角英数字で入力してください。) 4) ダッシュボードに表示させたいレポートを追加するため、「+パネルの追加」をクリックします。

(39)

5) ダッシュボード内のパネルタイトルとして任意の名前を入力し、前のセクションで保存したレポートを選択し、 「パネルの追加」をクリックします。

6) 保存されたレポートの実行結果がパネルに追加されます。表示を編集するには、パネル内右上アイコンをク リックします。ここでは視覚エフェクトから「折れ線」を選択します。

(40)

40

7) グラフを追加するため、もう一度「+パネルの追加」をクリックします。

8) ダッシュボード内のパネルタイトルとして任意の名前を入力し、前のセクションで保存したレポートを選択し、 「パネルの追加」をクリックします。

(41)

9) 保存されたレポートの実行結果がパネルに追加されます。表示を編集するには、パネル内右上アイコンをク リックします。ここでは視覚エフェクトから「円」を選択します。

10) ダッシュボードのレイアウトを変更します。円グラフをドラッグアンドドロップで移動させます。

ドラッグアンドドロップで 移動させます。

(42)

42

11) レイアウトが変更されました。ダッシュボードの編集を終了するため、「完了」をクリックします。

12) 作成されたダッシュボードが上部メニュー「ダッシュボード」から選択できるようになったことを確認します。 「完了」をクリックします。

(43)

4 参考情報

4.1

お問い合わせ窓口

本書で紹介していないコマンドラインからの設定の追加や、より高度な検索コマンドの使用方法などにつきましては オンラインマニュアルをご覧いただくか、弊社マクニカネットワークス株式会社が主催するセミナーにご参加ください。 ご不明な点は下記の弊社窓口までお問い合わせください。 【お問い合わせ窓口】 〒222-8562 横浜市港北区新横浜 1-5-5 マクニカネットワークス株式会社 Splunk セールス担当 TEL: 045-476-1960 E-mail: splunk-sales@cs.macnica.net URL: http://www.macnica.net/splunk/

(44)

44 本資料の引用・転載、禁止・免責事項について  マクニカネットワークス株式会社の事前の許可なく、このマニュアルのいかなる部分も、いかなる方法 によって複製、または電子媒体に複写することを禁じます。このマニュアルに記載されている製品およ び仕様に関する情報は、予告なしに変更されることがあります。  本マニュアルに記載されている情報の正確性および信頼性には万全を期しておりますが、マクニカネッ トワークス株式会社は、いかなる利用について一切の責任を負わないものとします。

 Splunk Inc.は US およびその他の国において Splunk Inc.の登録商標です。その他、本マニュアルに記載 されている会社名や製品名は、それぞれ各社の商標または登録商標です。

参照

関連したドキュメント

等に出資を行っているか? ・株式の保有については、公開株式については5%以上、未公開株

関係会社の投融資の評価の際には、会社は業績が悪化

ダイダン株式会社 北陸支店 野菜の必要性とおいしい食べ方 酒井工業株式会社 歯と口腔の健康について 米沢電気工事株式会社

  支払の完了していない株式についての配当はその買手にとって非課税とされるべ きである。

ⅴ)行使することにより又は当社に取得されることにより、普通株式1株当たりの新株予約権の払

ⅴ)行使することにより又は当社に取得されることにより、普通株式1株当たりの新株予約権の払

ⅴ)行使することにより又は当社に取得されることにより、普通株式1株当たりの新株予約権の払

ⅴ)行使することにより又は当社に取得されることにより、普通株式1株当たりの新株予約権の払