Mothership Appってどんなアプリ?
一言でいうと、「子機(各Splunk環境)の情報を、母艦(Mothership)に集めて一元管理するアプリ」です 。
定期的に各環境にサーチを投げにいって、その結果を母艦に持ってきてくれる、というシンプルな仕組みのようです 。これなら、いちいち各環境にログインしなくても済みそうですね!
🎯 目的
複数のSplunk環境(ES含む)を、1つの環境からサーチしたりダッシュボードで統合的に見たかった。
今回準備したもの
今回は、こんな環境で試してみました。
- 母艦(Mothership)用Splunk: Mothership Appをインストールする、ごく普通のSplunk環境。
-
子機(監視対象)用Splunk: 監視される側のSplunk環境。
*接続用ユーザー: 子機側にあらかじめ、PowerUser権限を持つユーザー作成 。 - Mothership App: Splunkbaseからダウンロードしておきます。
設定手順
🛠 インストール
まずはAppをここから入手して、いつもの感じで Manage Apps → Install app from file。
👉 https://splunkbase.splunk.com/app/4646/
入れると「Mothership」というAppが追加されます。
🌍 Environment(監視対象)を追加
右上の New Environment をクリックして、以下を入力。
- Name:適当でOK(例:prod-es)
- Management Server:https://対象のsplunk:8089
- Username/Password:対象環境に作ったユーザー(PowerUserで実施)
Save で登録完了。
※ Management Serveの[:8089] を忘れると認証通らないので注意。
🔍 サーチを登録してみる
登録した環境をクリック → New Search で以下を入力:
- Label:任意
- Search:とりあえず index=* で実施
保存して右上の Run ボタンを押すと、検索結果が取得されます。
動かしてみた結果
Status が Ok になっていて、ちゃんと動いている様子。
詳細を見てみると、
Mohtership App側で下記を作成してくれていました。
- Saved Search
- Index
- HEC
注意点
ドキュメントを確認したところ下記の記述があり、
In a Distributed Deployment or a Search Head Cluster Deployment
The Mothership app will write summary results to lookups (transforming searches) and/or indexes (non-transforming searches). In a distributed environment or Search Head Cluster, lookups populated by Mothership can be replicated across the cluster, this means that Mothership running exclusively transforming searches (which write to a lookup) will work with a properly configured Distributed or Search Head Cluster Deployment. Non-transforming searches (which write to an index) are currently not supported in a distributed or Search Head Cluster deployment.
現在、非変換検索 (Non-transforming Search)は分散環境のSearch Headではサポートしていない様子。
使ってみた感想
- 複数の環境の情報をダッシュボードで一元管理できるのは便利。
- 設定もUIからポチポチやるだけで簡単。
複数環境を管理できる環境をサクッと作れてしまうので便利でした!
ES版もあるので、次はそちらも触ってみる予定です。
🔗 参考になったリンク
https://splunkbase.splunk.com/app/4646/