前回はマシンデータを活用することのメリットを紹介しました。今回はSplunkを通じて多種多様なマシンデータから知見を得ていくための操作を解説します。
今回はSplunkの試用版(無料版)を利用して、実際にデータを取り込み、サーチコマンド(SPL:Search Processing Language)を利用したデータの可視化までを実施してみよう。試用版は60日間で、1日あたり500Mバイトまで、1カ月間なら約15Gバイトまでのデータを取り込める。ぜひデータの取り込みのしやすさ、分析の容易さ、「Apps」の適用範囲、検索スピードを実感していただければと思う。
Splunkのダウンロードサイトには、複数のプラットフォーム(Windows、Linux、Solaris、Mac)に対応したバージョンが用意されている。今回はLinux 64bitバージョンで解説したい。Linuxディストリビューションは2.6+ kernel(64-bit)または2.4+ kernel with NPTL(32-bit)がサポートされている。
本稿ではCentOS 6.6 Kernel 2.6.xxを利用した環境で話を進めていく。Linuxインストーラはrpm、deb、tgzの3つのダウンローダーが用意されているが、今回はtgzを使用する。ダウンロードが完了したら、tarコマンドでファイルを展開する。
$ tar xvzf splunk-6.3.0-aa7d4b1ccb80-linux-2.6-x86_64-manifest
展開が完了したらsplunk/binに移動し、./splunk startでSplunkを起動、ウィザードに従ってインストールする。インストールが終わると、デフォルトでは以下の4つのポートがオープンになる。
もし上記のポートがあらかじめサーバ上にあっても、起動時にポートを自動確認するので、都度変更できる。最後に以下のメッセージが出力されればインストールは完了だ。
次にWebブラウザを起動して「http://localhost:8000/ja-JP」にアクセスすると、Splunkの日本語GUIにアクセスできる。アクセスはローカルIPでも構わない。
画面上の表示の指示に従がってログインし、「サーチとレポート」をクリックしてサーチ画面に遷移すると、以下の画面が現れる。
SPLで利用可能なサンプルデータ(ZIPファイル)がSplunkのWebサイトにあるので、ここではサンプルデータを使ってみたい。サンプルデータをダウンロードしたら、早速データをインポートしてみる。
まずは/tmp フォルダ配下に「sample」というフォルダを作成し、ここに上記のファイル(tutorialdata.zip)をダウンロードし、zipファイルを展開する(unzip tutorialdata.zip)。ファイルが解凍されると、/tmp/sample配下のディレクトリ構造とデータは以下のようになっている。
Splunkの画面の上部のメニューバーから、「設定」→「データ:データ入力」をクリックし、データ入力画面に遷移する。「ファイル&ディレクトリ」行のアクションから「新規追加」をクリックし、「データの追加」画面へ遷移する。
「ファイルまたはディレクトリ」フィールドに、先ほど配置したファイルのパスを指定し、“/tmp/sample”「参照」からファイルの存在を確認し、「次へ」をクリックする。
データの追加:入力設定のフェーズでは「ホスト」の欄の「パスのセグメント」をクリックし、セグメント番号「3」を入力し、「確認」、続いて「実行」をクリックする。これでサンプルデータの投入は終了だ。
ここまでみると、データを簡単に投入できることが分かる。もしデータベースに登録するのであれば、通常は事前にデータベース側に対して、もともとのログのフォーマットを理解させるためのスキーマを作成し、それぞれSQL文を利用して投入するが、Splunkではログを指定することでそのまま読み込める。標準では26の定義されたソースタイプを自動判別し、フォーマットの変更にも、後から「Key=value」ペアを変更することで柔軟に追加や変更ができる。
Copyright © ITmedia, Inc. All Rights Reserved.