はじめに
- splunkはなんと言ってもcommunityの力が頼もしいです
- communityによってみんなでデータのパーサーやダッシュボードを共有しあっています
- でもappsって誰が作っていてどこまでサポートしてくれるの?って不安もありますよね?
- そこで筆者体験談に基づくappsとのうまい付き合い方をまとめました
Appsの種別
AppsとAdd-on
パーサーとダッシュボードだけではない。ユーティリティーツールもある。
開発者及びサポートレベルの見分け方
1.Appsの開発者って誰?の確認方法
このアイコンの位置をチェックし、どこの団体が作っているのか確認する
上の場合、splunk builtなのでSplunk社で開発している事がわかります。
Palo AltoのAppの場合、Splunk Builtアイコンが無いことがわかります。
こういうときは右下のサポート内容をチェックします。
Palo Alto Appの場合、Developer Supportedであることがわかります。
2.サポートレベルの確認方法
- サポートレベルの公式資料
パターン別サポートの実態(※個人の体験に基づきます)
- Splunk Supported(Splunk Built)
- SplunkサポートのSLAに基づき対応
-
Splunk Works
- splunk社員が開発したもの。該当社員によるベストエフォートでサポート
- Developer Support
- ベンダー毎でサポートレベルは異なる
-
Community Support
- みんなで助け合いましょう精神
Splunk WorksとCommunity Supportの扱い
- Appのコード管理はgithubで行っていることが多い
-
修正のリクエスト方法は以下中心
- Splunk Answer
- メール
- github上でissue登録
-
appの人気度合いと更新度合いを見て、活況なものであれば1〜2日で連絡がついた
-
Alert Manager
- 当時issue登録したやりとり
-
Sigbay Link Analysis
- 当時のメールのやりとり
- 当時のメールのやりとり
-
Alert Manager
所感
- Community Appsであっても、英語で質問や問題内容を説明できれば解決していくことができる
- 個人的にはsplunk社/べンダーサポートよりも、個人で対応、修正してくれるcommunity appのほうが対応早い気がする(※ハズレもあるかも)