はじめに
Splunkは、複数のSplunkインスタンスを組み合わせて分散構成やクラスター構成を組むことができます。
基本的にはSplunk単独で組むことができますが、その際、同じSplunk製品(Splunk EnterpriseまたはUniversal Forwarder)を使っていても、構成上で各Splunkインスタンスが果たす役割によって呼び方が変わったりします。Splunk公式ドキュメントに記載されているSplunkインスタンスの呼び方について調査しました。
※筆者が独自調査した結果となり、Splunk社公式の見解は異なる可能性もありますので予めご了承ください。
標準の呼称
| 名称 | 略称 | 概要 | 備考 |
|---|---|---|---|
| All-In-One | AIO | 1台で後述するIndexerとSearchheadの役割を果たすインスタンス。小規模な構成や初期構成時に採用されることが殆ど。 | |
| Indexer | IDX | Forwarderなどで取り込んだデータをIndexに保存するインスタンス。 | |
| Searchhead | SH | ユーザーからのサーチをIndexerに問い合わせ、その結果を表示するインスタンス。 | |
| DeploymentServer | DS | 設定の一元管理を行う役割を担うインスタンス。DSの管理下になるSplunkインスタンスのことをDeploymentClientと呼ぶこともある。 | ※1 |
| ClusterMaster | CM | インデクサークラスタリング構成において、IndexerおよびIndexの管理を行うインスタンス。地味に重要。 | |
| LicenseMaster | LM | ライセンスの一元管理を行う役割を担うインスタンス。LMの管理下になったSplunkインスタンスのことをLicenseSlaveと呼ぶ。これも地味に重要。 | |
| Deployer | DP | サーチヘッドクラスタリング構成において、各メンバー(後述)に設定を配布する役割を持つインスタンス。名前がDSと似ているが目的や役割は全く違うので注意。 | |
| UniversalForwarder | UF | データの取り込みと他Splunkインスタンスへのデータ転送に役割を特化したインスタンス。Splunk Enterpriseとは別のインストーラを使う。 | ※2 |
| HeavyForwarder | HF | データの取り込み時にデータの修正や、データ内容に応じて転送先を制御したい場合などに採用されるインスタンス。 | |
| Monitoring Console | MC | Splunkインスタンスの稼働状況を監視するインスタンス。監視するためには監視対象インスタンス側にも設定が必要になる。 | ※3 |
| Intermediary Forwarder | IF | 中継Forwarder(他のForwarderから送られたデータを別のSplunkインスタンス(インデクサー、あるいは別のフォワーダー)に転送する役割を持つフォワーダー。役割を担うのはUFでもHF(Splunk Enterprise)でもよい。 |
※1 Splunk社の資料によっては、Forwarder Management(フォワーダー管理)と同義としているようです。
※2 Splunkはデータ取り込み方法として、TCP/UDPを使った取り込みやWMIを使った取り込みをサポートしていますが、2019年10月時点、UFを使って取り込むことを推奨しているようです。
※3 Splunk webで言語を日本語にしている場合、"モニター"コンソールと表示されます。
分散構成/クラスター構成を組んだ時に使われる名称
-
Search Peer
SearchHeadからサーチされるIndexを持つIndexerのことを指す。(紛らわしいですがIndexerとIndexは別物です) -
Member
サーチヘッドクラスタリング構成(SHC)における各サーチヘッド。 -
Captain
サーチヘッドクラスタリング構成(SHC)において、スケジュールサーチをどのメンバーに実施してもらうかと、あるメンバーが持っているローカル設定を他のメンバーに複製することを管理する役割をもつサーチヘッド。キャプテンはSHCのメンバーのどれか1台がなり、Splunkデフォルトでは動的にキャプテンが決定される。
参考文献
https://wiki.splunk.com/Community:HowIndexingWorks
https://www.splunk.com/pdfs/technical-briefs/splunk-validated-architectures.pdf