Splunkの代表的な機能を4つを紹介していきます。
①インデクサー:Indexer
テキストデータであれば、取り込むことが可能。
検索ができるように、保存(インデックスへの格納)、加工(インデックス化)しておく。
リソースを多用するため、I/OとCPUを十分に割り当てる必要があります。
・I/O(Input/Output):情報入力(Input)と出力(Output)の処理の総称。高頻度でデータ入出力が行われると、ハードウェアやネットワークにI/O処理の負荷が発生するため注意。
②サーチヘッド:Search Head
インデクサーに格納されたデータを検索・表示する機能です。
スケジュールで動作するアラート、レポート等の機能もサーチヘッドが提供。
③フォワーダ:Forwarder
対象の分析データを収集し、Splunkサーバへ転送する機能を持ったエージェントのこと。
Splunkのインスタンス間でデータ転送を行うものです。
インデクサーやほかのフォワーダー、サードパーティシステムが転送先となります。
ほとんどのフォワーダーは少ないリソースで利用できるため、データを生成するマシン上に無理なくインストール可能。
・エージェント:代理人。ユーザーの代理としてコンピュータ処理を行う機能。ソフトウェアやシステム
・インスタンス:Splunkを単独で実行するサーバのこと。
主に、マシンから収集したデータをそのままインデクサーに転送するユニバーサルフォアーダと、
条件を絞ったデータのみを Indexer に転送するヘビーフォアーダを利用。
▼フォワーダに種類の詳細は以下記事にあり
④ディプロイメントサーバ:Deployment Server
各フォワーダにコンフィグを配信して一括設定できる機能。
導入している機器に直接ログインすることなく設定の変更が可能。
規模が大きい構成等で、フォワーダの数が大きいほど重宝される。
●おまけ
環境構成によって、インデクサーやフォワーダの数は変動していきます。
機能は1つのサーバに1個しか使用できないということはなく、当然複数の併用も可能です。
小規模例:
インデクサーとサーチヘッドを併用して、1つのサーバ上で機能させる。
大規模例;
上位にサーチヘッドで複数のインデクサーからサーチ結果を検索します。
ディプロイメントサーバも併用してフォワーダの一括管理。
次層にはインデクサーを複数配置して、負荷分散を行う。
以降の各マシンにはフォワーダをインストールします。
