はじめに
Splunkを使い始めて挫折する1つのポイントが「SPL」かと思います。また、高度なデータ分析を実施するにも基礎が理解できずに何をやっているのか分からなくなるようなケースもあるかと思います。ちなみに私もその1人でした。では、Splunkの基礎やSPLを学習する方法はどんなのがあるのだろうか?ということで探してみた話です。なお、この記事は2024年5月24日に作成しました。情報更新は未定です。
トレーニングプログラム[公式]
https://www.splunk.com/ja_jp/training.html
無料および有料のトレーニングがあります。すべてを受講した訳では無いので、私が受講した範囲のコメントと理解ください。
[1] 無料コース
Splunk EnterpriseとSplunk Cloudに関する無料コースはおそらく全て受講しました。幾つかのショート動画でSplunkに関するあれこれを説明してくれるのですが、私にとっては理解が難しい内容でした。内容が入ってこない。せめて資料があれば良いのですが、頭がよくない私にはショート動画だけだと記憶に止めるのは厳しかったです。そのため、無料コースの受講検討されている方は、この後に紹介するワークショップの方が圧倒的におすすめです。
[2] 有料コース
Splunk認定試験を受講する際に参考となるコースを幾つか受講しました。私が受講したのはe-Learning形式で、講師はアジア圏に在住する方で、講義および資料はすべて英語でした。ただ、調べてみると日本語の講義もありそうなので英語が苦手な方はそちらで受講するのが良いかと感じました。無料コースと違ってPDF資料が配布され、資料に沿って講義が進みます。またハンズオンのラボもあり、講義で説明いただいた内容がイメージとして定着できるので良い内容かと感じました。有料コースだけあって無料コースよりは質も量も優れていました。
[3] 参考記事
ワークショップ[公式]
https://www.splunk.com/ja_jp/about-us/events.html
Splunkイベントにワークショップやハンズオンがあります。日本人講師が無償で提供しており、さらにSplunkを触る事ができるといった素晴らしいイベントです。2,3ヶ月先のワークショップが公開されており、提供されるプログラムはランダムなような気がします。私も幾つか参加したのですが、その中でSplunkの基礎から学べる推奨のコースは次の通りです。
[1] Splunk Entry Workshop
Splunkが初めての方向けに提供されているワークショップ。Splunkの概要から、どのように使えるのか、また実際に触れるハンズオンがセットとなったプログラムです。まずはここから始めるのが良さそうでした。
[2] Splunk Basic Workshop
Entry Workshopの続編で提供されているワークショップ。よく使うSPLを一通りハンズオンで体感できると共に、ダッシュボードのトークンやアラートやレポートの機能が体感できるプログラムです。Entry Workshopを受講して、もっと学びたい方向けに良さそうでした。
[3] Splunk Workshop : Data Onboarding Hands-on
こちらもEntry Workshopの続編で提供されているワークショップ。Splunkに対して、どのようにデータを取り込んでいくのかハンズオンを通じて体感できるプログラムです。Splunkを触り始めて、いろんなデータを取り込んでみたいという方向けに良さそうでした。
[4] その他
他にも有償のセキュリティ監視(Splunk Enterprise Security)やシステム監視(Splunk IT Service Intelligence)が体感できるワークショップもありました。Splunk Enterpriseはダッシュボードを構築したり、取り込んだデータからSPLを駆使してデータ抽出したりという内容ですが、セキュリティ監視サービスやシステム監視サービスはバンドルされたダッシュボードを使って高度な監視を実現する方法が体感できます。サービス検討や導入前にどんなものなのか検討するのに参考になりそうなプログラムでした。
ブログ[公式]
https://www.splunk.com/ja_jp/blog
Splunkブログが公開され、幾つか学習のヒントになる記事がありました。参考になりそうな記事をピックアップします。
- Splunkサーチコマンド > stats、chart、timechart
- Splunkサーチコマンド > stats、eventstats、streamstats
- 表の行と列を入れ替えるSPL
- Splunkに燃料を与える:Universal Forwarderによるリアルタイムでのデータ取込方法とインストール (パート1)
- Splunkに燃料を与える:Universal Forwarderによるリアルタイムでのデータ取込方法とインストール(パート2)
- 高速化したデータモデルとサマリーインデックスによるサーチ時間の短縮
- Splunkの使い方情報 まとめページ
Splunkテスト環境を構築
https://www.splunk.com/ja_jp/download.html
Splunkは無料トライヤル版があります。Splunk Cloud PlatformはSaaS、Splunk Enterpriseはオンプレミスのソフトウェアです。AWS EC2やPCにインストールして利用したい場合はSplunk Enterpriseをダウンロードして使えます。でも、どうやって学習したらいいの?という方向けにチュートリアルシナリオとそのデータが公開されています。2024年5月24日現在はSplunk Enterprise 9.2.1が最新バージョンとなりますが、ダウンロード時点の最新版のチュートリアルを参照してみてください。
- チュートリアルシナリオ - Splunk Enterprise 9.2.1
-
チュートリアルデータ - Splunk Enterprise 9.2.1
- tutorialdata.zip ... 検索/分析用のファイル
- Prices.csv.zip ... ルックアップ用のファイル
- Splunkマニュアル(日本語)
- Splunkクイックリファレンスガイド(日本語)
Qiita
Qiitaで探すと結構ヒットします。難易度はそれぞれなので、そのあたりの見極めが必要になります。この記事と同じように学習コンテンツをまとめられた記事がありましたのでピックアップします。
YouTube
YouTubeにもSplunkやSPLに関する情報がヒットします。こちらは英語が主体ですね。日本語コンテンツが幾つかありましたので参考までピックアップします。
- Splunk Cloud - スキーマ・オン・ザ・フライが可能にする柔軟なログ解析の仕組みと設定方法
- Splunk Cloudの無料トライアルダウンロード
- Splunk Cloudでのデータ取り込み方法
- フォワーダーを使用したSplunk Cloudでのデータ取り込み方法
- CIMによるSplunk Cloudでのログ活用範囲の拡大
生成AI(ChatGPTなど)
ChatGPTを始めとした生成AIを使ってSPLを生成する事が可能です。私も利用してみましたが、誤りはあれど、それなりに作成してくれる印象でした。生成AIに対するプロンプトで「***について、SplunkのSPLを作ってください。解説は日本語でお願いします。」と投げかけるだけでSPLが自動生成され、そこで何をやっているのか解説もつけてくれます。(ChatGPT 4oにて確認、2024年5月24日現在)
[1] ChatGPT 4oを用いたSPL生成(例)
ChatGPT 4oに「Apacheのログからアクセスが失敗したIPアドレスを抽出し、失敗した回数が多い順に並ぶようにSplunkのSPLを作ってください。解説は日本語でお願いします。」という質問を投げた時の回答内容です。
この例では、statusの検索も1行目に記載できる内容(index=~~~ sourcetype=~~~ status=~~~)なのでベストでは無かったですが、やろうとしている事は間違っていないので妥協点かと思います。
[2] 参考記事
Udemy
私はSplunk学習では利用した事がないですが、探すとこんなの見つかりましたという紹介です。
書籍
私はどの書籍も読んでいないので内容は不明ですが、探すとこんなの見つかりますという紹介です。
終わりに
探してみると結構ありましたね。今回紹介した中で、Splunkテスト環境を構築する事とワークショップ[公式] に参加して体系立てて学びながらハンズオンで理解を深めていくのは、私には有益でした。