さて、いくつかのコマンドを実行してみよう。サーチは条件を絞っていくイメージだ。どのログ、どのサーバから実行するのか、どのような文字を含むのか、そして、コマンドで検索結果をパイプ(|)でつなげていくことで、求める値を抽出していく。
例1:Webでアクセス失敗を確認
www 404
wwwおよび404の文字列を検索。間のスペースは「&」を意味する。
例2:Webでアクセス成功かつPOSTメソッドを確認
www status=200 POST
Key=valueペアとして、status=200とし、より精度を上げる。
例3:自社Webへのアクセス失敗した上位IPとその件数、割合を確認
buttercupgames status=404 | top clientip
buttercupgamesはサンプルログの自社ドメイン名。それに404を追記。別のコマンドを利用する場合はパイプでつなぎ、この場合はtopコマンドでclientipを引数で渡す。このclientipは、前述したIPを示すフィールドである。
例4:自社WebアクセスをIPごとにmethod、statusの件数を確認
buttercupgames | chart values(method) values(status) count by clientip
chartコマンドおよびchartのvalues()パラメータを利用してmethodとstatusの固有件数をIPごとに統計する。
例5:Webアクセスでアプリケーション(file)ごとにhttpのステータス404、503を確認
sourcetype=access_* | chart count(eval(status="503")) as 503 count(eval(status="404")) AS 404 by file
Webアクセスに特化するため、「sourcetype=access_*」でWebのログだけを対象にする。Countの際にはevalコマンドを利用して503の結果の数だけを返すようにする。
さらに、Splunkでは可視化するための視覚エフェストを多数用意しており、サーチの結果から「視覚エフェクト」タブに遷移することで、ビジュアライゼーションが容易だ。上記の例5を利用しての結果を示そう。
また、どの国からのアクセスかを確認するために、IPアドレス情報から地理情報を取得し、緯度、経度情報から検索結果を地図上にマップすることで、購買傾向やアクセス指向が地理、時間、内容の観点で手に取るように分かる。これは「iplocation」と「geostats」を利用し、視覚エフェクトを「マップ」に変更することで実現できる。
Copyright © ITmedia, Inc. All Rights Reserved.