しばしば必要となるのでメモ。
実施環境: Splunk Free 8.2.2
Splunk 自体の内部ログは、基本的には _internal という名前のインデックスに保管されています。
[Splunk 内部ログ一覧] (https://docs.splunk.com/Documentation/Splunk/8.2.2/Troubleshooting/WhatSplunklogsaboutitself)
index="_internal"
| stats count BY sourcetype, source
_internal ログには複数のログが格納されていますが、よく使用されるログは次のとおりです。
メインログ
ソースタイプ名:splunkd
ログファイル名:splunkd.log
Splunk のメインログです。
大抵のログはここに出力されるため、何か問題が発生した場合はまずここを確認します。
index="_internal" sourcetype="splunkd" source="*/splunkd.log" log_level="ERROR"
| table _time, event_message
メトリクスログ
ソースタイプ名:splunkd
ログファイル名:metrics.log
スループット等、 Splunk のパフォーマンスに関連する情報が出力されるログです。
Splunk の性能分析に使用できます。
index="_internal" sourcetype="splunkd" source="*/metrics.log" group="per_index_thruput"
| stats avg(kbps) BY series
ライセンス使用量ログ
ソースタイプ名:splunkd
ログファイル名:license_usage.log
ログデータの取り込み量が出力されるログです。
日々のログ流用を確認するのに使用できます。
Splunk のライセンス料は1日のログの取り込み量が基準となるため、日々のログ流用は重要な情報です。
index="_internal" sourcetype="splunkd" source="*/license_usage.log"
| where isnotnull(idx)
| eval index_sourcetype = idx + ":" + st
| timechart span=1d sum(b) BY index_sourcetype
スケジュールログ
ソースタイプ名:scheduler
ログファイル名:scheduler.log
スケジュールしたジョブの実行履歴が出力されるログです。
定期的に動作させているジョブについて、開始/終了時刻や成否を確認するのに使用できます。
直近のジョブであれば他にも確認方法はありますが、古いジョブの実績を知る場合は本ログを見る必要があります。
index="_internal" sourcetype="scheduler" source="*/scheduler.log"
| where isnotnull(savedsearch_name)
| table _time, savedsearch_name, status
監査ログ
インデックス名:_audit
ログイン履歴等、監査に必要な情報が出力されるログです。
本ログは例外的に、 _internal とは別の _audit という名前のインデックスに格納されています。
個人レベルではあまり必要ないかもしれませんが、企業その他の団体で使用されるサーバの場合はセキュリティ上非常に重要なログです。
index="_audit" action="login attempt"
| table _time, clientip, user, info
