splunkとは

splunkは様々なマシンデータを

といった機能を提供するアプリケーションです。基本有料ですが、1日500MBまで、60日間、無料で使うことができます。
ユーザ登録をすれば、下記からダウンロード可能です。
https://www.splunk.com/ja_jp/download.html

installしてみる

Mac用のinstall用のパッケージをダウンロードして、インストールしてみます。
パッケージは、linux,windows,macなど各OSごとに用意されています。

tar zxvf splunk-6.6.2-4b804538c686-darwin-64.tgz -C /Applications/splunk_install/662/.

これでインストールは完了です。

起動は下記のコマンドで実行します。
初回起動時だけ、licenseの承諾画面がでるので、--accept-licenses --answer-yesをつけています。

/Applications/splunk_install/662/splunk/bin/splunk start --accept-license --answer-yes

splunkはwebinterfaceを8000ポートで起動させるので、ブラウザでlocalhost:8000にアクセスしてみます。

1.せっかくなので、データをuploadして、検索してみます。
splunk社が提供しているサンプルデータがあるので、それをつかってみます。

2.サンプルデータをダウンロード後、ホーム画面のAdd Dataをクリックします。

3.uploadを選択して、select fileからダウンロードしたzipファイルを選択します。

4.Input Settingsを選択します。
いくつか項目を入力する必要があるので、選択していきます。

sourcetype : 読み込みたいファイルの形式を選択します。Automaticを選ぶとsplunk側で自動で判断してくれます。csvならcsv、jsonならjsonといった形です。自分で選択したい場合は、selectを選択、特殊なformatの場合は、Newを選択して自分で作成します。(結構な数のsourcetypeがdefaultで用意されています)

今回はautomaticを選択します

Host : どのhostからのデータかを定義する項目です。いくつか種類がありますが、今回はsegment in pathを選択します。segment in pathはフォルダの何階層目にhost名が入るかという情報なので、今回は1を設定します。

サンプルデータのフォルダ階層は/tutorialdata/www1(ホスト名）といった形になっていました。

index : 取り込んだログなどのデータをindexという箱に格納するための設定項目です。今回はただのサンプルなので、とりあえずdefaultを選択します。create new indexの箇所で新規にindexも作成できます。運用や、取り込むsourcetype、アクセスさせる人によってindexはわけたほうが良さそうです。

5.できたら、Nextボタンを押し進みます。取り込みが完了するとstart searchingの画面がでてくるのでstart searchingをクリックして早速検索してみます。

とりあえずこれで検索できるようになったので、いろんなデータをつかってみようと思います。