Table of Contents はじめに Splunk Enterprise がインデックス処理できる項データの取り込みの開始データの場所 :ローカルかまたはリモートか? フォワーダーを使ったデータの取り込み App を使ったデータの取り込み

(1)

Splunk Enterprise 6.2.0

データの取り込み

作成：2014 年 11 ⽉ 21 ⽇午後 4 時 11 分

(2)

5

6

7

8

9

10

12

13

14

15

17

18

19

22

23

25

26

27

29

32

34

36

37

41

42

43

44

47

53

62

66

71

73

80

84

86

91

92

Splunk Enterprise を使⽤するための最初の作業が、データを取り込むことです。Splunk Enterprise にデータを取り込むと、即座にインデックスが作成され、サーチが可能になります。Splunk Enterprise はインデックス作成機能により、サーチ可能なフィールドから構成されるイベントイベントにデータを変換します。Splunk がデータのインデックスを作成する前/後にさまざまな処理を⾏えます。ただし、⼀般的にはそのような作業は必要ありません。基本的に、Splunk Enterprise にデータを指⽰すると、その後データのサーチを開始したり、それを使ってグラフ、レポート、アラート、および他の出⼒を⽣成したりすることができます。

データの種類

任意のデータを利⽤できます。特に、各種 IT ストリーミングデータ、マシンデータ、および履歴データを得意にしています。Windows イベントログ、Web サーバーログ、ライブアプリケーションログ、ネットワークフィード、システム測定基準、変更のモニター、メッセージキュー、アーカイブファイル、その他さまざまなデータを利⽤できます。どのようなデータでも利⽤できます。嘘ではありません。 Splunk Enterprise にデータのソースを知らせてください。また、ソースに関するいくつかの情報も指定します。そのソースが、データ⼊⼒データ⼊⼒となります。Splunk Enterprise は取り込んだデータのインデックスを作成し、それを個別の⼀連のイベントに変換します。それらのイベントは即座に表⽰、サーチすることができます。望み通りの結果が得られなかった場合は、⽬的の結果が得られるまでインデックス作成処理を調整することができます。データは Splunk Enterprise インデクサーインデクサーと同じマシン上にあっても (ローカルデータローカルデータ )、他のマシン上にあっても (リモートデータリモートデータ ) 構いません。リモートデータは、ネットワークフィードを利⽤して、またはデータのソースとなるマシン上に Splunk Enterprise フォワーダーフォワーダーをインストールして、簡単に取得することができます。フォワーダーは軽量版の Splunk で、収集したデータをメインとなる Splunk Enterprise インスタンスに転送します。この Splunk Enterprise インスタンスは開け取ったデータのインデックス作成やサーチを⾏います。ローカルデータとリモートデータについては、「データの場所」を参照してください。

作業を簡単に⾏うために、Splunk はさまざまな無料の AppApp やアドオンアドオン、および Windows または Linux 固有のデータ、Cisco セキュリティデータ、Blue Coat データなどに対応する、事前設定されたデータ⼊⼒ (データの取り込み⼿段) を提供しています。Splunk Apps からご⾃分のニーズに適した App やアドオンをお探しください。 Splunk には、Web サーバーログ、J2EE ログ、Windows パフォーマンス測定基準など、さまざまなデータソース⽤のレシピが⽤意されています。これらのデータソースを利⽤するには、後述するように Splunk Web の [データの追加] [データの追加] セクションを使⽤します。⽤意されているデータソースや App がニーズを満たしていない場合は、Splunk Enterprise の汎⽤⼊⼒設定機能を使って、⽬的のデータソースを指定します。これらの汎⽤データソースについては、ここを参照してください。

データ⼊⼒の指定⽅法

新しい種類のデータを Splunk Enterprise に取り込むには、それに対応する設定を⾏います。データの取り込みを指定するには、さまざまな⽅法があります。 App：

App： Splunk には、各種データソースを取り込むための事前設定が⾏われている、さまざまな App やアドオンが⽤意されています。Splunk の App を活⽤して、データ取り込みの設定の⼿間を省きましょう。詳細は、「App の使⽤」を参照してください。

Splunk Web：

Splunk Web：⼤部分のデータ⼊⼒は、Splunk WebSplunk Web のデータ⼊⼒ページから設定できます。この⽅法では、GUI を使って取り込むデータを設定できます。Splunk ホームまたは [システム][システム] メニューから、[デー[データの追加]

タの追加] ページにアクセスすることができます。「Splunk Web の使⽤」を参照してください。 Splunk CLI：

Splunk CLI： CLICLI (コマンドラインインターフェイス) を使って、さまざまな種類のデータ取り込みを設定できます。「CLI の使⽤」を参照してください。

inputs.conf 設定ファイル：

inputs.conf 設定ファイル： Splunk Web または CLI を使ってデータの取り込みを指定すると、設定内容は設定ファイル inputs.conf に保存されます。必要に応じてこのファイルを直接編集することができます。⾼度なデータ取り込みを⾏う場合は、このファイルを編集しなければならないこともあります。「inputs.conf の編集」を参照してください。また、フォワーダーを使って他のマシンのデータをインデクサーに送信する場合、フォワーダーのインストール時にデータの取り込みを指定することができます。「フォワーダーの使⽤」を参照してください。データ取り込みの設定の詳細は、「データ⼊⼒の設定」を参照してください。

データソースの種類

前述のように、Splunk は特定のアプリケーションニーズに固有のものを含めて、あらゆる種類のデータの取り込みを設定するためのツールを提供しています。Splunk は、任意のデータ⼊⼒タイプを設定するためのツールも提供しています。⼀般的に、Splunk のデータ⼊⼒は以下のように分類できます。ファイルとディレクトリネットワークイベント Windows ソースその他のソースファイルとディレクトリファイルとディレクトリ多くの有益なデータが、ファイルやディレクトリに存在している可能性があります。多くの場合、Splunk

5

(6)

多くの有益なデータが、ファイルやディレクトリに存在している可能性があります。多くの場合、Splunk Enterprise のファイル/ディレクトリのモニターファイル/ディレクトリのモニター⼊⼒プロセッサを使って、ファイルやディレクトリからのデータを取得することができます。ファイルとディレクトリのモニターについては、「ファイルとディレクトリのデータの取得」を参照してください。ネットワークイベントネットワークイベント Splunk Enterprise は、任意のネットワークポートからのデータのインデックスを作成することができます。たとえば、syslog-ng や他の TCP 経由でデータを伝送するアプリケーションからの、リモートデータのインデックスを作成することができます。UDP データのインデックスも作成できますが、信頼性の観点から可能な場合は TCP を使⽤することをお勧めします。 SNMP イベント、リモートデバイスが⽣成したアラートを受信してインデックスを作成することもできます。ネットワークポートからデータを取得するには、「TCP および UDP ポートからのデータの取得」を参照してください。 SNMP データの取得については、「Splunk への SNMP イベントの送信」を参照してください。 Windows ソース Windows ソース

Windows 版の Splunk Enterprise には、さまざまな Windows 固有の⼊⼒が⽤意されています。また、以下のような Windows 固有の⼊⼒タイプを定義することもできます。 Windows イベントログデータ Windows レジストリデータ WMI データ Active Directory データパフォーマンスモニターデータ重要：

重要： Windows 版以外の Splunk Enterprise インスタンス上で、Windows データのインデックス作成とサーチを⾏う場合は、まず Windows 版のインスタンスを使ってデータを収集する必要があります。詳細は、「リモート Windows データのモニター⽅法決定の検討事項」を参照してください。

Splunk Enterprise での Windows データの使⽤⽅法の詳細は、「Windows データと Splunk Enterprise について」を参照してください。その他のソースその他のソース Splunk Enterprise は、他の種類のデータソースもサポートしています。例：先⼊れ先出し (FIFO) キュースクリプト⼊⼒ API および他のリモートデータインターフェイスやメッセージキューからデータを取り込みます。モジュール⼊⼒ Splunk Enterprise フレームワークを拡張する、カスタム⼊⼒機能を定義します。

次の参照先

ここでは、Splunk データの指定時に検討する必要がある問題について説明していきます。「データの場所」。リモートデータとローカルデータの⽐較、およびそれが影響する事項について説明しています。「フォワーダーの使⽤」。フォワーダーを使ったリモートデータ収集の簡素化について説明しています。「App の使⽤」。Splunk App を使った、Splunk Enterprise へのデータの取り込みについて説明しています。

「データの取り込み⽅法」。データソースの取得と設定の概要、およびベストプラクティスについて説明しています。

「⼊⼒の設定」。Splunk Enterprise でのデータ⼊⼒の設定⽅法について説明しています。

「Windows データと Splunk Enterprise について」。Windows データを Splunk Enterprise に取り込む⽅法の概要を説明しています。

「Splunk Enterprise によるデータの取り扱い (および活⽤⽅法)」。Splunk Enterprise に取り込んだデータがどのように処理されるのか、そしてデータを活⽤するための Splunk の設定について説明しています。

データの取り込みの開始

Splunk Enterprise へのデータの取り込みを開始するには、[データの追加][データの追加] ページで、データの取り込みを設定します。「データの追加⽅法は？」を参照してください。

または、お使いの OS ⽤ App (Splunk App for Windows Infrastructure や Splunk App for Unix and Linux) などの、App をダウンロードして、有効にすることもできます。

Splunk Enterprise をインストールして、データの取り込みの設定、または App の有効化を⾏ったら、指定されたデータの保管と処理が即座に開始されます。その後、サーチ App (Splunk Web の開始ページである Splunk ホームからアクセス可能) またはメイン App ページに移動して、収集したデータの詳細な調査を開始することができます。

新しいデータ取り込みの追加

(7)

ここでは推奨する⼿順について説明していきます。 1.

1. ⾃分のニーズを把握します。たとえば、以下のような事項を検討します。

Splunk Enterprise でインデックスを作成するデータは？「Splunk がインデックス処理できる項⽬」を参照してください。そのデータ⽤の App があるか？「App を使ったデータの取り込み」を参照してください。データはどこに存在しているか？ローカルか、またはリモートか？「データの場所」を参照してください。リモートデータへのアクセスにフォワーダーを使⽤するか？「フォワーダーを使ったデータの取り込み」を参照してください。インデックス作成したデータで何をするのか？『ナレッジ管理』マニュアルの「Splunk ナレッジとは？」を参照してください。 2. 2. テスト⽤インデックスを作成し、いくつかのデータ取り込み (⼊⼒) を追加します。「テスト⽤インデックスの使⽤」を参照してください。テスト⽤データの量は最低限に抑えてください。テスト⽤インデックスに追加されたデータは、ライセンスの⽇次インデックス作成量の加算対象となります。 3. 3. データをテスト⽤インデックスに送る前にプレビューを⾏い、必要に応じてデータのインデックス作成⽅法を修正してください。Splunk Enterprise では、モニターまたはアップロードにより、ファイルから取り込んだデータをプレビューすることができます。詳細は「[ソースタイプの設定] ページ」を参照してください。 4. 4. テスト⽤データに対して、いくつかのサーチを実⾏します。意図通りのデータが表⽰されましたか？デフォルト設定でイベントが正常に処理されましたか？データが⾒つからなかったり、おかしくなっていたりしませんか？最適な結果が表⽰されましたか？ 5. 5. 必要に応じて、意図通りのイベントが収集、表⽰されるように、データの取り込みやイベント処理の設定を調整します。イベント処理の設定⽅法については、このマニュアルの「Splunk Enterprise によるデータの取り扱い」を参照してください。 6. 6. テスト⽤インデックスからデータを削除して、必要に応じて実際の利⽤を開始します。⽅法については、「インデックス・データの削除とやり直し」を参照してください。 7. 7. 実際の利⽤準備が完了したら、デフォルトの「main」インデックスへのデータの取り込みを設定します (ここを参照)。他にも追加する⼊⼒がある場合は、この作業を繰り返します。

独⾃のデータを取り込みますか？

Splunk Enterprise は任意の時系列データのインデックスを作成できるため、⼀般的には追加の設定作業を⾏う必要はありません。独⾃のアプリケーションやデバイスからログを取得する場合、まずデフォルトの設定での処理をお試しください。⽬的の結果が得られない場合は、イベントのインデックスが正しく作成されるように、いくつかの設定を調整することができます。続⾏する前に「イベント処理の概要」および「Splunk Enterprise によるデータのインデックス作成の仕組み」を参照し、Splunk Enterprise に正しくデータの処理を⾏わせるための知識を確認してください。いくつかの検討しておく必要がある問題を以下に⽰します。イベントは複数⾏イベントか？データに特殊な⽂字セットが使われているか？ Splunk Enterprise がタイムスタンプを正しく判断できない？

データの場所：ローカルか、またはリモートか？

Splunk Enterprise にデータを初めて取り込む場合、「ローカル」データと「リモート」データの違いは何なのか、多少混乱するかもしれません。新しいデータ⼊⼒を設定する場合、ローカルとリモートの違いが重要になります。この問題への回答は、以下のようにさまざまな基準に応じて異なります (ただし、これに限定されるものではありません)。 Splunk Enterprise インスタンスが動作しているオペレーティングシステム Splunk Enterprise インスタンスに直接接続されているデータストアの種類インデックスを作成するデータを保管するデータストアにアクセスするために、認証や他の中間ステップを介する必要があるかどうか

ローカル

ローカルローカルリソースは、Splunk Enterprise サーバー (⾃分) が直接アクセスできる固定リソースです。また、それに保管されているデータの種類に関わらず、取り付け、接続、または他の中間操作 (認証やネットワークドライブへのマッピングなど) を⾏うことなく、システムからリソースを参照、利⽤することができます。そのようなリソース上にデータが存在している場合、それは「ローカル」データとみなされます。ローカルデータの例を以下に⽰します。デスクトップやラップトップに取り付けられているハードディスクや SSD システム起動時にロードされる RAM ディスク

リモート

7

(8)

リモート

リモートリソースは、前述の定義に該当しない任意のリソースです。Windows システムからマップされたネットワークドライブ、Active Directory スキーマ、NFS または *nix システム上の他のネットワークベースのマウントなどが、これに該当します。このようなリソースから収集されたデータも「リモート」とみなされます。

例外

⼀般的にリモートとみなされるけれども、実際には違うリソースも存在しています。以下にいくつかの例を⽰します。 USB や FireWire などの⾼帯域幅物理接続経由で、常時マウントされているボリュームを持つマシン。コンピュータはブート時にリソースをマウントできるため、理論的には後ほどリソースを切り離せる場合でも、このようなリソースはローカルリソースとして取り扱われます。 iSCSI などの⾼帯域幅ネットワーク標準規格、または SAN への光接続を介して永久的にマウントされるリソースを持つマシン。ローカルのブロックデバイスと同程度のデータ量を処理できる標準規格であるため、このようなリソースはローカルとみなされます。

フォワーダーを使ったデータの取り込み

フォワーダー

フォワーダーは軽量版の Splunk インスタンスで、収集したデータを処理するために Splunk Enterprise インデインデクサークサーに転送することを⽬的にしています。最低限のリソースしか必要とせず、パフォーマンス上の影響も少ないため、⼀般的にはデータ⽣成元のマシン上に配置されます。たとえば、集中的にサーチを実⾏したいデータを⽣成している複数台の Apache サーバーがある場合、Splunk Enterprise インデクサーをインストールした後、次に各 Apache マシンにフォワーダーを設定することができます。各フォワーダーは Apache データを収集して、それをインデクサーに送信します。インデクサーは受け取ったデータを統合して保管し、サーチが可能な状態にします。消費リソースが少ないため、フォワーダーが Apache サーバーのパフォーマンスに与える影響を最低限に抑えられます。同様に、従業員の Windows デスクトップにフォワーダーをインストールすることもできます。これらのフォワーダーはログや他のデータを集中管理⽤ Splunk Enterprise インスタンスに送信します。そのデータを利⽤して、マルウェアがないかどうか、または他の問題が発⽣していないかどうかを追跡することができます。

フォワーダーが⾏う作業

フォワーダーを使って、リモートマシンからデータを取得することができます。フォワーダーは以下のような機能により、ネットワークから raw データを供給するよりも、⼤幅に堅牢なソリューションを実現しています。メタデータのタグ設定 (ソース、ソースタイプ、ホスト) 設定可能なバッファデータ圧縮 SSL セキュリティ利⽤可能な任意のネットワークポートの使⽤ローカルにスクリプト⼊⼒の実⾏フォワーダーは他の Splunk Enterprise インスタンスと同じ⽅法でデータを収集します。インデクサーと完全に同じタイプのデータを処理できます。違いは、⼀般的にフォワーダー⾃体がインデックスを作成することはないことです。単純にデータを取得して、それをインデクサーに送信します。インデクサーがインデックスの作成とサーチを担当します。単⼀のインデクサーで、複数のフォワーダーから転送されるデータを処理することができます。フォワーダーの詳細は、『データの転送』マニュアルを参照してください。⼤半の Splunk Enterprise デプロイ環境では、フォワーダーは主なデータ収集役を果たしています。インデクサーは単⼀マシンのデプロイ環境でのみ、主なデータ収集役にもなります。⼤規模な Splunk Enterprise デプロイ環境では、数百台または数千台ものフォワーダーがデータを収集して、それを⼀連のインデクサーグループに転送することもあります。

フォワーダー⼊⼒の設定⽅法

Splunk Enterprise の軽量版インスタンスであるフォワーダーは、設計上機能が限定されています。たとえば、⼤半のフォワーダーには Splunk Web が含まれていません。そのため、直接 UI にアクセスしてフォワーダーのデータ取り込みを設定することはできません。ここでは、フォワーダーのデータ取り込みを設定する主な⽅法について説明していきます。初期デプロイ時にデータの取り込み (⼊⼒) を指定する。Windows フォワーダーの場合、インストール時に⼀般的なデータ取り込みを指定することができます。*nix フォワーダーの場合、インストール後にデータの取り込みを指定できます。 CLI を使⽤する。 inputs.conf を編集する。⽬的のデータ取り込み機能がある App をデプロイする。

テスト⽤の完全版 Splunk Enterprise インスタンスで Splunk Web を使ってデータの取り込みを設定し、その結果⽣成された inputs.conf ファイルをフォワーダーに配布する。

その他の参考情報

使⽤事例、⼀般的なトポロジー、および設定も含めたフォワーダーの詳細は、『データの転送』マニュアルの「転送と受信について」を参照してください。デプロイサーバーデプロイサーバーを使った設定ファイルや App の複数フォワーダーへの配布⽅法を含めた、フォワーダーデプロイの詳細は、『データの転送』マニュアルの「ユニバーサルフォワーダーのデプロイの概要」を参照してください。リモート Windows データをモニターするためのフォワーダーの使⽤⽅法については、「リモート Windows データのモニター⽅法を決定するための検討事項」を参照してください。

(9)

App を使ったデータの取り込み

Splunk には、Splunk Enterprise の機能を拡張、強化するためのさまざまな AppApp やアドオンアドオンが提供されています。App により、Splunk Enterprise へのデータの取り込みプロセスが簡単になります。特定の環境やアプリケーション向けのデータ取り込みを⾃分で設定する代わりに、データの取り込みがすでに設定されている App を探して使⽤することもできます。Splunk Apps からApp をダウンロードします。

⼀般的に App は特定のデータタイプを対象にしており、デート取り込みの設定から有益なデータビューの⽣成までさまざまな機能が⽤意されています。たとえば、Splunk App for Windows Infrastructure は、Windows サーバーおよびデスクトップの管理⽤に、データの取り込み、サーチ、レポート、アラート、およびダッシュボード機能を提供しています。Splunk App for Unix and Linux は、UNIX/Linux環境向けに同様の機能を提供しています。特定のタイプのアプリケーション・データを処理する幅広い App が存在しています。以下に例を⽰します。

Splunk App for Blue Coat ProxySG Splunk App for F5

Splunk App for Cisco Security

Splunk App for Websphere Application Server

Splunk Apps に直接移動して各種 App をダウンロードすることもできます。Splunk Apps には頻繁に新しい App が追加されるため、定期的に確認してください。

重要：

重要： Splunk Web がプロキシサーバーの背後にある場合は、Splunk Enterprise 内からの Splunk Apps へのアクセス時に問題が発⽣する可能性があります。この問題を解決するには、『管理マニュアル』の「プロキシ・サーバーの指定」を参照してください。

⼀般的な App についての情報は、『管理マニュアル』の「App とアドオンとは」を参照してください。特に「その他の App やアドオンの⼊⼿場所」には、App のダウンロードとインストール⽅法が記載されています。独⾃の App の作成⽅法については、『Developing Views and Apps for Splunk Web』マニュアルを参照してください。

⼊⼒の設定

Splunk Enterprise に新しいタイプのデータを追加するには、データに関するいくつかの事項を設定します。そのためには、データ⼊⼒データ⼊⼒ (取り込み⽅法) を設定します。データ⼊⼒を設定するために、さまざまな⽅法が⽤意されています。 App

App ：Splunk には、各種データを取り込むために、⼊⼒が事前設定されているさまざまな AppApp が⽤意されています。Splunk の App を活⽤して、データ取り込みの設定の⼿間を省きましょう。詳細は、「App を使ったデータの取り込み」を参照してください。

Splunk Web

Splunk Web ：⼤部分のデータ⼊⼒は、Splunk WebSplunk Web のデータ⼊⼒ページから設定できます。この⽅法では、GUI を使って取り込むデータを設定できます。Splunk ホームから、[データの追加][データの追加] ページにアクセスすることができます。また、[システム][システム] を使って新たな⼊⼒を追加したり、既存の⼊⼒を管理したりすることもできます。また、ファイルをアップロードまたはモニターする場合、データをインデックスに書き込む前に、ファイルをプレビューしてインデックスの作成⽅法を調整することができます。

Splunk コマンド・ライン・インターフェイス (CLI) の使⽤：

Splunk コマンド・ライン・インターフェイス (CLI) の使⽤： CLICLI を使って、⼤部分のデータ取り込みを設定できます。

inputs.conf 設定ファイル

inputs.conf 設定ファイル：Splunk Web または CLI を使ってデータの取り込みを指定すると、設定内容は設定ファイル設定ファイル inputs.conf に保存されます。必要に応じてこのファイルを直接編集することができます。⾼度なデータ取り込みを⾏う場合は、このファイルを編集しなければならないこともあります。

また、フォワーダーフォワーダーを使って他のマシンのデータをインデクサーインデクサーに送信するように設定する場合、フォワーダーのインストール時にデータの取り込みを指定することができます。「フォワーダーを使ったデータの取り込み」を参照してください。

このトピックでは、Splunk Web、CLI、または inputs.conf を使って、⾃分でデータ⼊⼒を設定する⽅法について

説明していきます。

Splunk Web の使⽤

データ⼊⼒は Splunk ホーム、または [システム] から追加することができます。 Splunk ホームから、[データの追加][データの追加] を選択します。[データの追加][データの追加] ページが表⽰されます。このページには、さまざまな⼊⼒タイプ向けのリンクが記載されています。これを使ってデータ⼊⼒を追加するのがもっとも簡単な⽅法です。「データの追加⽅法は？」を参照してください。 Splunk Web の任意の場所から、[システム][システム] を選択します。次に [システム][システム] ポップアップの [データ][データ] から、[データ⼊⼒][データ⼊⼒] を選択します。この操作で表⽰されるページから、既存のデータ⼊⼒の表⽰、管理、および新しいデータ⼊⼒の追加を⾏えます。 [データの追加] [データの追加] ページには、データを取り込むための 3 種類のオプション [アップロード]、[モニター]、および [転送] があります。それぞれのアイコンをクリックすると、アップロード、モニター、または転送するデータを定義することができます。 Splunk Web を使ったデータ⼊⼒の詳細は、このマニュアルの後半にある、特定の⼊⼒に関する説明を参照してください。たとえば、Splunk Web を使ったネットワーク⼊⼒の設定⽅法を学習するには、「TCP/UDP ポートからのデータの取り込み」を参照してください。

⼤半の⼊⼒は Splunk Web を使って設定できます。⼊⼒タイプが少ない場合は、inputs.conf を直接編集する必要

(10)

があります。また、他の⼊⼒タイプに対して⾼度な設定を⾏う場合も、inputs.conf を編集する必要があります。

Splunk Web を使って⼊⼒を追加した場合、その⼊⼒は現在使⽤している App に所属する inputs.conf のコピー

に追加されます。この点についても考慮が必要です。たとえば、[サーチ] ページから [システム] に直接移動して⼊⼒を追加した場合、その⼊⼒は $SPLUNK_HOME/etc/apps/search/local/inputs.conf に追加されます。データ⼊⼒をデータ⼊⼒を追加する際には、⾃分が⽬的の App 内にいることを確認してください。追加する際には、⾃分が⽬的の App 内にいることを確認してください。設定ファイルの仕組みの詳細については、「設定ファイルについて」を参照してください。

CLI の使⽤

Splunk CLI を使って、⼤部分の⼊⼒を設定することができます。UNIX/Windows コマンドプロンプトから

$SPLUNK_HOME/bin/ ディレクトリに移動して、./splunk コマンドを使⽤します。たとえば、以下のコマンドを実⾏す

ると、データ⼊⼒として /var/log/ が追加されます。 ./splunk add monitor /var/log/

何か分からないことがある場合、Splunk CLI にはヘルプが⽤意されています。CLI コマンドの⼀覧を表⽰するには、以下のコマンドを⼊⼒します。

./splunk help commands

各コマンドには、それぞれ独⾃のヘルプページが⽤意されています。参照するには、次のように⼊⼒します：

./splunk help <command>

CLI を使った特定の⼊⼒の設定については、このマニュアルの適切な⼊⼒に関する説明を参照してください。たとえば、CLI を使ったネットワーク⼊⼒の設定⽅法を学習するには、「CLI を使ったネットワーク⼊⼒の追加」を参照してください。 CLI に関する全般的な情報については、『管理マニュアル』の「CLI について」および他の関連するトピックを参照してください。

inputs.conf の編集

inputs.conf を編集して直接⼊⼒を追加するには、その⼊⼒のスタンザスタンザを設定します。スタンザ

は、$SPLUNK_HOME/etc/system/local/ 内、または ($SPLUNK_HOME/etc/apps/<app name>/local 内の) 独⾃のカスタム App

ディレクトリ内の inputs.conf ファイルに追加します。Splunk の設定ファイルで初めて作業を⾏う場合は、事前に「設定ファイルについて」を参照してください。データ⼊⼒を設定するには、スタンザに属性/値のペアを追加します。⼊⼒スタンザには複数の属性を設定できます。属性の値を指定しない場合は、$SPLUNK_HOME/etc/system/default/inputs.conf に定義されているデフォルト値が使⽤されます。ネットワーク⼊⼒を追加する簡単な例を以下に⽰します。この設定は、任意任意のリモートサーバーからの raw データを、TCP ポート 9995 で待ち受けるように Splunk Enterprise に指⽰しています。Splunk Enterprise は、リモート・サーバーの DNS 名を使ってデータのホストを設定します。ソースタイプ「log4j」およびソース「tcp:9995」をデータに割り当てます。 [tcp://:9995] connection_host = dns sourcetype = log4j source = tcp:9995 特定の⼊⼒の設定⽅法については、このマニュアルのその⼊⼒に関する説明を参照してください。たとえば、ファイル⼊⼒の設定⽅法については、ここを参照してください。各データ⼊⼒のトピックには、その⼊⼒で利⽤できる主な属性が説明されています。利⽤可能な属性の完全な⼀覧については、inputs.conf spec ファイルを参照する必要があります。spec ファイルには、属性の詳細な説明が記

載されています。複数の例を含むファイルも存在しています。

ソース・タイプについて

データ取り込み処理の⼀環として、Splunk Enterprise はデータにソースタイプソースタイプを割り当てます。ソースタイプはデータのフォーマットを⽰しています。インデックス作成時に Splunk Enterprise はソースタイプを使⽤して、イベントを正しくフォーマットします。通常 Splunk は、どのソースタイプを割り当てるのかを理解しています。たとえば、syslog データにはソースタイプ「syslog」が割り当てられます。特定の⼊⼒に Splunk

Enterprise が割り当てるソースタイプに不満がある場合は、別のソースタイプを指定することができます (事前定義されているソースタイプまたは⾃分で作成したソースタイプ)。ソースタイプは⼊⼒の設定時に設定します。設定⽅法は、このトピックで説明しています。ソースタイプの詳細は、「ソースタイプが重要な理由」を参照してください。「⾃動ソースタイプ割り当てに優先する設定」には、ソースタイプ割り当てオプションが詳細に説明されています。イベント単位でのソースタイプの設定⽅法については、「⾼度なソースタイプの上書き」を参照してください。

Splunk Enterprise によるデータの取り扱い (および活⽤⽅法)

(11)

Splunk Enterprise は任意の種類のデータを取り込んで、それのインデックスインデックスを作成し、イベントイベントに変換します。イベントは有益でサーチ可能な情報です。以下のデータパイプラインデータパイプラインは、インデックス作成時のデータ処理の主な流れを表しています。これらのプロセスが、イベント処理イベント処理を構成しています。データが処理されてイベントに変換されたら、イベントをナレッジオブジェクトナレッジオブジェクトと関連付けて有⽤性をさらに向上することができます。

データパイプライン

Splunk Enterprise に取り込まれた⼀連のデータは、それをサーチ可能なイベントに変換する、データパイプラインを通過します。データパイプラインの主要なステップを以下の図に⽰します。データパイプラインの概要については、『分散デプロイ』マニュアルの「Splunk Enterprise 内でのデータの移動」を参照してください。 Splunk Enterprise はイベント処理時に、ほぼすべてのタイプのデータを適切に認識し、有益でサーチ可能なイベントに変換するための処理を⾏います。ただし、データの種類やデータから抽出したい情報によっては、イベント処理の⼀部のステップを調整しなければならないこともあります。

イベント処理

イベント処理は、パーシングとインデックス作成の 2 つのステージに分かれて⾏われます。Splunk Enterprise に取り込まれるデータはすべて、⼤きなデータの塊 (チャンク) としてパーシングパイプラインパーシングパイプラインを通過します。パーシング中に、これらのチャンクはイベントに分割されます。分割されたイベントは、インデックス作成インデックス作成パイプラインに渡されて、最終処理が⾏われます。パーシングおよびインデックス作成の両⽅の段階で、Splunk Enterprise はデータを処理し、さまざまな⽅法で変換を⾏います。これらのプロセスの⼤半は設定を変更することができ、ニーズに合わせて処理を調整することができます。以降の説明でリンクをクリックすると、これらのいずれかのプロセスの説明と、設定⽅法に関する情報を記載したトピックに移動します。パーシング中、Splunk Enterprise はさまざまなアクションを実⾏します。以下に例を⽰します。

各イベントに対して、host、source、および sourcetype などの、⼀連のデフォルトフィールドを抽出する。

(12)

⽂字セットのエンコードを設定する。⾏分割ルールを使って⾏の終端を識別する。⼤半のイベントは短く、1〜2⾏程度ですが、中には⻑いイベントも存在しています。Splunk Web の [ソースタイプの設定] ページを使って、対話的に⾏の終端設定を変更することもできます。タイムスタンプを識別する、また存在しない場合は作成する。タイムスタンプ処理と同時に、イベント境界の識別が⾏われます。タイムスタンプの設定は、[ソースタイプの設定] ページを使って、対話形式で⾏うこともできます。このステージで、重要なイベントデータ (クレジットカード情報や社会保障番号など) をマスクするように Splunk Enterprise を設定することができます。また、受信したイベントにカスタムメタデータを適⽤するように設定することもできます。インデックス作成パイプラインでは、以下のような追加処理が⾏われます。すべてのイベントを、サーチ可能なセグメントに分割する。セグメント分割のレベルを指定することができます。セグメント分割レベルは、インデックス作成およびサーチ速度、サーチ能⼒、およびディスクの圧縮効率に影響します。インデックスデータ構造を作成する。 raw データとインデックスファイルをディスクに書き込む。ディスクでは、インデックス作成後の圧縮処理が⾏われます。パーシングおよびインデックス作成パイプラインの違いは、主にフォワーダーに影響してきます。ヘビーフォワーダーは、ローカルにデータの完全パーシングを⾏い、パーシングされたデータをインデクサーに転送できます。インデクサーは最終的なインデックス作成作業を⾏います。⼀⽅ユニバーサルフォワーダーでは、最低限のパーシング処理を⾏った後にデータを転送します。⼤部分のパーシング処理は、受信側のインデクサーで⾏われます。イベントおよび処理の詳細は、このマニュアルの「イベント処理の概要」を参照してください。インデックス作成パイプラインの詳細を表した図とインデックス作成の仕組みについては、Community Wiki の「How Indexing Works」を参照してください。

イベントの強化と調整

データがイベントに変換されたら、それをイベントタイプ、フィールド抽出、および保存済みサーチなどのナレッジオブジェクトに関連付けて、有⽤性を強化することができます。Splunk ナレッジの管理の詳細は、『ナレッジ管理』マニュアルの「Splunk のナレッジとは？」を参照してください。

Splunk Enterprise へのデータの取り込み

データの追加⽅法は？

最新版の Splunk Enterprise では、データをとても簡単に追加できるようになりました。適切な権限を持つユーザーとしてログインしたら、新しい⼿順に 1 クリックでアクセスできます。このトピックは、更新された⼿順と、前の⼿順からの変更について説明しています。データを Splunk に取り込むためのチュートリアルについては、『サーチ・チュートリアル』を参照してください。

新しい [データの追加] ページ

Splunk Enterprise にログインすると、更新されたホーム・ページが表⽰されます。データを追加するには、ページの中央左 (App リストの右) にある緑⾊の [データの追加] ボタンをクリックします。[データの追加] ページが表⽰されます。システム・バーの [設定] メニューをクリックして、[データの追加] ページを表⽰することもできます。メニューが表⽰された時、[データの追加] ボタンは左側にあります。

(13)

このページには、Splunk Enterprise インスタンスにデータを取り込むための 3 つのオプション、[アップロー[アップロード] ド]、[モニター][モニター]、および [転送][転送] が表⽰されます。

アップロード

[アップロード] オプションでは、インデックスを作成するために、Splunk Enterprise にファイルまたはファイルのアーカイブをアップロードすることができます。[アップロード] ボタンをクリックすると、アップロード・プロセスを開始するページが表⽰されます。「データのアップロード」を参照してください。

モニター

[モニター] オプションでは、1 つまたは複数のファイル、ディレクトリ、ネットワーク・ストリーム、スクリプト、イベント・ログ (Windows システムのみ)、または Splunk Enterprise インスタンスがアクセスできる他のタイプのマシン・データをモニターすることができます。[モニター] ボタンをクリックすると、モニター・プロセスを開始するページが表⽰されます。「データのモニター」を参照してください。

転送

[転送] オプションでは、フォワーダーフォワーダーからこの Splunk Enterprise インスタンスにデータを取り込むことができます。[転送] ボタンをクリックすると、フォワーダーからのデータ収集プロセスを開始するページが表⽰されます。「データの転送」を参照してください。重要：重要：このオプションを使⽤する前に、追加の設定を⾏う必要があります。これは、単⼀インスタンス環境でのみ使⽤してください。データのインデックスを作成する複数の Splunk Enterprise インスタンスがある場合は、『データの転送』マニュアルの「データの転送と受信について」を参照してください。

データのアップロード

このトピックは、[データの追加] ページで [アップロード] ボタンを選択した場合に表⽰されるページについて説明しています。

[アップロード] ページ

[アップロード] ページには、以下の項⽬が表⽰されます。このページでは、以下のいずれかの⽅法を使って、データを Splunk Enterprise にアップロードできます。

13

(14)

Splunk Enterprise にインデックスを作成させるファイルをデスクトップからドラッグして、このページの [ここにデータ・ファイルをドラッグ・アンド・ドロップしてください] 領域にドロップします。または画⾯左上の [ファイルの選択] ボタンをクリックして、ダイアログ・ボックスを表⽰し、インデックスを作成するファイルを選択します。ファイルがロードされ、ファイルのタイプに応じて処理が⾏われます。ロードが完了したら、右上の [次へ][次へ] ボタンをクリックして、次のステップ [データの追加] に進みます。

データのモニター

このトピックは、[データの追加] ページで [モニター] ボタンを選択した場合に表⽰されるページについて説明しています。

[モニター] ページ

[モニター] ページには、以下の項⽬が表⽰されます。このページでは、Splunk Enterprise にモニターさせるデータのタイプを選択できます。デフォルトの⼊⼒が最初に表⽰されます。デフォルトの⼊⼒の下には、転送されている⼊⼒が表⽰されます。その下には、インスタンスにインストールされているモジュール⼊⼒が表⽰されます。データをモニターするには、以下の⼿順に従ってください。 1. 1. 画⾯の左側でソースを 1 回クリックして選択します。選択したソースに応じて、残りのページにはそれに合わせた内容や項⽬が表⽰されます。たとえば、[ファイルとディレクトリ] を選択した場合、ページにはファイル/ディレクトリ名を⼊⼒するためのフィールド、およびファイル/ディレクトリのモニター⽅法を指定する項⽬などが表⽰されます。注意：注意： Splunk Enterprise には、モニターできるソースのみが表⽰されます。詳細は、「データ・ソースの⼀覧」を参照してください。モニターする⽬的のデータ・ソースが表⽰されない場合は、以下のような理由が考えられます。⼀部のデータ・ソースは、特定のオペレーティング・システムでのみ利⽤できます。たとえば、Windows データ・ソースを、*nix 上で動作している Splunk Enterprise インスタンスで利⽤することはできません (逆も同様)。 Splunk Enterprise にログインしているユーザーが、データの追加またはそのデータ・ソースを参照する権限を持っていない可能性があります。 2. 2. 画⾯に表⽰される指⽰に従って、モニターするソース・オブジェクトの選択を完了します。 3. 3. 右上の [次へ][次へ] ボタンをクリックして、次のステップ [データの追加] に進みます。

データ転送

このトピックは、[データの追加] ページで [転送] ボタンを選択した場合に表⽰される [フォワーダーの選択] ページについて説明しています。重要：重要：インデクサーおよびデプロイ・サーバーとして動作している単⼀の Splunk Enterprise インスタンスがある場合にのみ、このページを使⽤してください。インデックスの作成を担当する複数のサーバーがある場合は、『Splunk Enterprise インスタンスの更新』マニュアルの「デプロイ・サーバーとフォワーダー管理について」を参照してください。

[フォワーダーの選択] ページ

[転送] ページには、以下の項⽬が表⽰されます。

(15)

このページでは、データを受信するためにサーバー・クラスサーバー・クラスを定義して、それらのクラスにフォワーダーを追加します。このページには、すでにデータの転送を設定し、このインスタンスのデプロイ・クライアントとして動作するように設定されたフォワーダーのみが表⽰されます。フォワーダーの設定が⾏われていない場合は、設定するように要求するメッセージが表⽰されます。リストにフォワーダーが表⽰されるようにするには、以下の作業が必要です。フォワーダーをデプロイ・クライアントデプロイ・クライアントとして設定する必要があります。こうすると、デプロイ・サーバーがフォワーダーの設定を管理できるようになります。詳細は、『Splunk Enterprise インスタンスの更新』マニュアルの「デプロイ・クライアントの設定」を参照してください。フォワーダーは、デプロイ・サーバーと正常に接続できる必要があります。リストにフォワーダーが表⽰されたら、データを追加するためにそれの設定を⾏います。 1. 1. [サーバー・クラスの選択][サーバー・クラスの選択] で、表⽰されているいずれかのオプションを選択します。 [新規] [新規]：サーバー・クラスを定義していない、何らかの理由で新しいサーバー・クラスを作成したい、または既存のサーバー・クラスが⼊⼒として設定するフォワーダーのグループに適していない場合。 [既存] [既存]：既存のサーバー・クラスを使⽤する場合。 2. 2. [利⽤可能ホスト][利⽤可能ホスト] パネルで、このインスタンスにデータを受信させるフォワーダーを選択します。フォワーダーが [利⽤可能ホスト][利⽤可能ホスト] パネルから [選択済みホスト][選択済みホスト] パネルに移動します。[すべて追加][すべて追加] リンクをクリックして、すべてのホストを追加することができます。また、[すべて削除][すべて削除] リンクで、すべてのホストを削除することもできます。重要：重要：サーバー・クラスに追加するホストは、特定のプラットフォームのホストでなければなりません。たとえば、Windows ホストと *nix ホストを同じサーバー・クラスに追加することはできません。 3a. 3a. [サーバー・クラスの選択] で [新規][新規] を選択した場合、⼀意のサーバー・クラス名を⼊⼒します。 3b. 3b. [既存][既存] を選択した場合、ドロップダウン・リストからサーバー・クラスを選択します。 4. 4. 右上の [次へ][次へ] ボタンをクリックして、次のステップ [データの追加] に進みます。 [ソースの選択] ページに、選択したフォワーダーに対して有効なソースタイプが表⽰されます。 5. 5. フォワーダーがこのインスタンスにデータを送信する、データ・ソースを選択します。「データのモニター」を参照してください。 6. 6. 緑⾊の [次へ][次へ] ボタンをクリックして、次のステップ [データの追加][データの追加] に進みます。

[ソースタイプの設定] ページ

[ソースタイプの設定] ページでは、データのインデックスがどのように作成されるのかをプレビューして、イベイベントの処理ントの処理を改善することができます。このページを使って、データのインデックスが意図通りに作成されることを確認することができます。データのインデックスをどのように作成するのかを、簡単に調整することができます。対話形式でインデックス作成プロセスを調整、改善することができます。そのため、後ほど実際にインデックス作成を⾏った時には、⽬的通りの形式でイベント・データイベント・データのインデックスが作成されます。

15

(16)

[ソースタイプの設定] ページは、ローカル・インスタンスの単⼀のファイルをアップロード/モニターする場合にのみ表⽰されます。データを転送するインスタンスに対しては表⽰されません。ネットワーク⼊⼒やディレクトリ⼊⼒にも対応していません。ただし、正しくプランニングを⾏えば、それらの⼊⼒タイプに対してもこのページを利⽤できます。詳細は、「データの準備」を参照してください。このページの表⽰時には、指定したデータに基づいてソースタイプが選択されます。推奨するソースタイプをそのまま使⽤することも、それを変更することも可能です。 [ソースタイプの設定] ページの例を以下に⽰します。

推奨するソースタイプの表⽰、変更

ファイル内のデータを Splunk Enterprise がどのようにイベントとして分割する予定なのかを確認することができます。このインデックス作成がご⾃分のニーズを満たしていない場合は、別のソースタイプを選択したり、[ソースタイプ：新しいソースタイプ][ソースタイプ：新しいソースタイプ] ボタンをクリックして、新しいソースタイプを作成したりすることができます。「イベント・データのソースタイプの表⽰と設定」を参照してください。

イベント・サマリーの表⽰

ページの右側にある、[イベント・サマリーの表⽰] リンクをクリックして、Splunk Enterprise が収集したデータ・サンプル内のイベントのサマリーを参照することができます。このサマリーには、以下の情報が表⽰されます。 Splunk Enterprise が収集したサンプル・データのサイズ (バイト)。サンプル内に存在しているイベント数。時間の経過に伴うイベント分布を表すグラフ。Splunk Enterprise は、ファイル内の⽇付スタンプを使って、このグラフの表⽰⽅法を決定します。サンプル内の各イベントの⾏数の内訳。

タイムスタンプとイベント分割の調整

Splunk Enterprise によるタイムスタンプ抽出とイベントの分割⽅法を調整することができます。満⾜のいく結果が得られたら、変更内容を新しいソースタイプソースタイプとして保存します。次に、それを実際のデータに適⽤してください。詳細は、「データへの適切なソースタイプの割り当て」を参照してください。

区切り設定

(17)

カンマ区切り値 (CSV)、タブ区切り値 (TSV)、またはその他の類似のファイルなどの構造化データ・ファイルを選択した場合、[区切り設定] バーが表⽰されます。このウィンドウでは、これらの構造化データ・ファイルのパーシング⽅法に関する設定を調整することができます。以下の項⽬を調整できます。フィールド区切り⽂字 - Splunk Enterprise がデータをフィールドに分割するために利⽤する⽂字。引⽤⽂字 - 何かが引⽤されている場合に、Splunk Enterprise がそれを判断するために利⽤する⽂字。ファイルの不要ヘッダー - 構造化データ・ファイル内の不要な⾏を無視するように指⽰する正規表現式。フィールド名 - Splunk Enterprise によるフィールド名の決定⽅法、⾃動、⾏番号、カスタム⼊⼒、または正規表現を利⽤できます。

データへの適切なソースタイプの割り当て

ここでは [ソースタイプの設定] ページを使った、インデックスを作成するデータへの適切なソースタイプの相関⽅法について説明しています。 [ソースタイプの設定] ページの⽬的は、取り込んだデータへの正しいソースタイプソースタイプの適⽤をお⼿伝いすることにあります。ソースタイプは、Splunk Enterprise が取り込んだすべてのデータに割り当てるデフォルトフィールデフォルトフィールドドの 1 つです。ソースタイプは、インデックス作成時のデータのフォーマット⽅法を決定します。データに正しいソースタイプを割り当てることで、インデックスが作成されたデータ (イベントデータイベントデータ ) には、適切なタイムスタイムスタンプタンプの設定とイベントイベント分割が⾏われ、期待通りのデータが作成されます。 Splunk Enterprise には、多数の事前定義されたソースタイプが⽤意されています。たいていの場合は、データの取り込み時にデータに正しいソースタイプが⾃動的に割り当てられ、適切にデータが処理されます。特殊なデータの場合、データに対して別の事前定義ソースタイプを、⼿動で選択しなければならないこともあります。また、独⾃のイベント処理を設定した、新たなソースタイプを作成しなければならないこともあります。 [ソースタイプの設定] ページは、データに事前定義されているソースタイプを適⽤した結果を表しています。これを参考に、データに適切なソースタイプを割り当てられます。また、ソースタイプの設定を対話形式で変更して、⽬的の結果が得られるまで設定を調整することもできます。作業が完了したら、変更内容を新たなソースタイプとして保存することができます。 [ソースタイプの設定] ページでは、以下の作業を⾏えます。 Splunk Enterprise が⾃動的に適⽤するデフォルトのイベント処理を使って、データがどのようになるのかを、データを変更することなく確認する。別のソースタイプを適⽤して、さらに良好な結果が得られるかどうかを確認する。タイムスタンプ⽣成またはイベント分割の設定を変更して、インデックスデータの品質を向上し、変更内容を新しいソースタイプとして保存する。新たなソースタイプを最初から作成する。このページは、新しいソースタイプを props.conf ファイルに保存します。後ほどこのファイルをデプロイ環境内の各インデクサーに配布することで、全体的にそのソースタイプを利⽤することができます。詳細は、「データプレビューと分散 Splunk Enterprise」を参照してください。ソースタイプの詳細は、このマニュアルの「ソースタイプが重要な理由」を参照してください。また、「イベント処理の設定」、「タイムスタンプの設定」、および「ソースタイプの設定」内の各トピックにも、ソースタイプの処理に関する詳細な情報が記述されています。

プレビューするデータの準備

このトピックでは、[ソースタイプの設定] ページで表⽰するデータの準備⽅法を説明します。 [ソースタイプの設定] ページでは、1 つのファイルに対してのみ作業を⾏えます。また、Splunk Enterprise インスタンス上にあるファイル、またはそこにアップロードされたファイルのみを利⽤できます。直接ネットワークデータやディレクトリを処理することはできませんが、この問題には簡単に対処することができます。

ネットワークデータのプレビュー

サンプル・ネットワーク・データをファイルに書き込んで、そのファイルをアップロードする、またはファイルのモニター⼊⼒として追加することができます。この⽬的で利⽤できるさまざまな外部ツールがあります。たとえ

Splunk Enterprise 6.2.0

Splunk Enterprise 6.2.0

データの取り込み

データの取り込み

作成：2014 年 11 ⽉ 21 ⽇ 午後 4 時 11 分

5

5

5

6

7

8

9

9

10

12

12

12

13

14

14

15

17

17

18

19

22

23

25

25

25

26

27

29

32

34

36

37

37

37

41

42

42

42

43

44

47

53

62

66

71

73

80

84

86

91

91

91

92