SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

検索表示
SB C&S

Splunkを体験してみよう!

  1. ホーム
  2. 技術ブログ
  3. データマネジメント
  4. Splunkを体験してみよう!
データマネジメント
2019.10.04

みなさん、こんにちは。

統合的なデータプラットフォームとして業界を牽引しているSplunk社とSBC&Sが販売代理店契約を締結いたしました。
Splunkは市場に浸透している製品ではありますが、「これからSplunkを触ってみたい!」という方もまだまだ多いと思います。
今回のブログではSplunkの概要と、Splunkを気軽に体感していただけるチュートリアルデータの利用手順をご紹介させていただきます。

Splunkの概要

Splunkは様々なマシンからログを取り込み蓄積し、取り込んだログデータのインデックス化を行う事で検索/分析/可視化を行う事ができるデータプラットフォーム製品です。
環境全体のログデータを1つのデータプラットフォームに集約する事で一元的なデータ分析が可能になります。

Splunkの核となる製品は「Splunk Enterprise」です。SplunkEnterpriseはオンプレミスのサーバーやパブリッククラウド上のVirtual Machineに対してインストールをする事ができます。また、「Splunk Cloud」ではインフラ毎Splunk社が提供するため、お客様で環境を用意しなくても利用が開始できます。

Splunk無償版をインストールしてみる

Splunkには無償版と有償版が提供されており、無償版には容量や機能制限がありますが、手軽にSplunkを体験することができるのでおすすめです。
ユーザー登録をする事で、無償トライアルが可能になっています。
下記メーカーサイトよりユーザー登録を行った後にSplunkのイメージファイルをダウンロードする事ができます。
SplunkEnterprise フリートライアル

無償版・有償版の違いについてはメーカーサイトでも紹介されておりますのでご参照ください。
SplunkEnterprise 無償版・有償版の違い

ここからは早速インストール手順に入ります。
ユーザー登録をしてダウンロードしたファイルをデプロイしてみます。
Splunk EnterpriseはWindows・Linux・MacOSへのデプロイメントをサポートしています。

スクリーンショット 2019-09-24 12.40.03.png

ハードウェア要件もメーカードキュメントに記載がありますのでご参照ください。
SplunkEnterpriseハードウェア要件

参考までにWindowsOS版のインストールの流れをご紹介します。ウィザードにしたがって進めていくだけなのでとても簡単です!

WinInstall.png

チュートリアルデータを使ってSplunkによるデータ検索を体験してみる

Splunkはデータプラットフォームなので、ログデータが必要です。
"まずは画面を見てみたい!"という場面で役立つのがメーカーが提供しているチュートリアルデータです。
こちらをダウンロードするとサンプルデータをインポートできます。
※下記リンクをクリックいただくとファイルのダウンロードが開始されます

チュートリアルデータのダウンロード

ダウンロードできたらSplunkの画面から早速データをアップロードしてみます。
アップロードは画面上部の 設定>データ追加 からアップロードが可能です。

upload.png

ソースの選択>ファイルの選択 より先ほどダウンロードしたtutorial.zipをZIP形式のままアップロードします。

upload2.png

次にアップロードしたファイルの定義設定を行います。

ソースタイプ(sourcetype):
取り込んだデータがどんなものなのかを定義する項目です。今回は自動で認識をさせようと思うので「自動」を選択しました。

ホスト(host):
ホスト名をどのように認識させるかを定義する項目です。今回はチュートリアルデータの1階層目のフォルダパス名をホスト名に定義しようと思うので「1」を選択しました。

インデックス(index):
取り込んだログをどのインデックス値と紐づけるかを定義する項目です。今回は新しく「tutorial-test」というインデックス値を作成して適用しました。

Input-setting.png

最後に確認画面で入力設定で定義した内容を確認すれば、データの取り込みが開始されます。

確認画面.png   

しばらくするとアップロードが完了します。これでデータの格納は完了です。

アップロード完了.png 

早速「サーチ開始」をクリックしデータ検索を行います。
すると、先ほど定義したインデックス値「tutorial-test」で検索が始まります。

ここから、例えば"error"というキーワードのログが出ていないか試してみるとします。
その場合は"error login"を検索バーに追加するとキーワード検索で該当キーワードが含まれるデータが表示されました。

error login.png

上記はあくまで簡単な一例です。
その他にも色々データ検索を体験する事ができ、メーカーサイトにてチュートリアルデータを使ったデータ検索の説明がありますので是非参考にしてみてください。

SplunkデフォルトAppsのSearch&ReportAppsを利用したデータ検索

今回のブログではSplunk社が提供しているチュートリアルデータを使ってSplunkの環境にデータを取り込む手順をご紹介しました。
Splunkは独自のサーチ処理言語であるSPLを使ってデータを検索し情報を取り出しますが、このSPLを使い様々なデータに辿り着く事ができます。
SPLについてはまた改めてご紹介させていただきたいと思います。
最後まで読んでくださりありがとうございました!

他のおすすめ記事はこちら

SIEMとは

著者紹介

SB C&S株式会社
C&S Engineer Voice運営事務局

最新の技術情報をお届けします!
 
 

Related Posts

関連記事