第2回 マシンデータの検索からヒントを可視化する方法実践 Splunk道場(1/5 ページ)

前回はマシンデータを活用することのメリットを紹介しました。今回はSplunkを通じて多種多様なマシンデータから知見を得ていくための操作を解説します。

» 2015年11月25日 08時00分 公開
[矢崎誠二ITmedia]

 今回はSplunkの試用版(無料版)を利用して、実際にデータを取り込み、サーチコマンド(SPL:Search Processing Language)を利用したデータの可視化までを実施してみよう。試用版は60日間で、1日あたり500Mバイトまで、1カ月間なら約15Gバイトまでのデータを取り込める。ぜひデータの取り込みのしやすさ、分析の容易さ、「Apps」の適用範囲、検索スピードを実感していただければと思う。

 Splunkのダウンロードサイトには、複数のプラットフォーム(Windows、Linux、Solaris、Mac)に対応したバージョンが用意されている。今回はLinux 64bitバージョンで解説したい。Linuxディストリビューションは2.6+ kernel(64-bit)または2.4+ kernel with NPTL(32-bit)がサポートされている。

  • インストールと起動

 本稿ではCentOS 6.6 Kernel 2.6.xxを利用した環境で話を進めていく。Linuxインストーラはrpm、deb、tgzの3つのダウンローダーが用意されているが、今回はtgzを使用する。ダウンロードが完了したら、tarコマンドでファイルを展開する。


$ tar xvzf  splunk-6.3.0-aa7d4b1ccb80-linux-2.6-x86_64-manifest

 展開が完了したらsplunk/binに移動し、./splunk startでSplunkを起動、ウィザードに従ってインストールする。インストールが終わると、デフォルトでは以下の4つのポートがオープンになる。

  • 8000番:SplunkのGUI
  • 8089番:マネジメントポート
  • 8065番:appserver
  • 8191番:kvstore

 もし上記のポートがあらかじめサーバ上にあっても、起動時にポートを自動確認するので、都度変更できる。最後に以下のメッセージが出力されればインストールは完了だ。

  • Webアクセスの開始

 次にWebブラウザを起動して「http://localhost:8000/ja-JP」にアクセスすると、Splunkの日本語GUIにアクセスできる。アクセスはローカルIPでも構わない。

Splunk

 画面上の表示の指示に従がってログインし、「サーチとレポート」をクリックしてサーチ画面に遷移すると、以下の画面が現れる。

Splunk
  • サンプルデータのダウンロード

 SPLで利用可能なサンプルデータ(ZIPファイル)がSplunkのWebサイトにあるので、ここではサンプルデータを使ってみたい。サンプルデータをダウンロードしたら、早速データをインポートしてみる。

Splunk

 まずは/tmp フォルダ配下に「sample」というフォルダを作成し、ここに上記のファイル(tutorialdata.zip)をダウンロードし、zipファイルを展開する(unzip tutorialdata.zip)。ファイルが解凍されると、/tmp/sample配下のディレクトリ構造とデータは以下のようになっている。

Splunk
  • データの投入

 Splunkの画面の上部のメニューバーから、「設定」→「データ:データ入力」をクリックし、データ入力画面に遷移する。「ファイル&ディレクトリ」行のアクションから「新規追加」をクリックし、「データの追加」画面へ遷移する。

ファイルまたはディレクトリ」フィールドに、先ほど配置したファイルのパスを指定し、“/tmp/sample”参照」からファイルの存在を確認し、「次へ」をクリックする。

Splunk

 データの追加:入力設定のフェーズでは「ホスト」の欄の「パスのセグメント」をクリックし、セグメント番号「3」を入力し、「確認」、続いて「実行」をクリックする。これでサンプルデータの投入は終了だ。

Splunk これは入力したファイルのホスト名を何にするかの定義。今回のデータの場合はフルパスで3番目のディレクトリ名となる。/tmp/sample/*****にホスト名が利用されている。つまり、ディレクトリ名のホスト名への転用も可能である

 ここまでみると、データを簡単に投入できることが分かる。もしデータベースに登録するのであれば、通常は事前にデータベース側に対して、もともとのログのフォーマットを理解させるためのスキーマを作成し、それぞれSQL文を利用して投入するが、Splunkではログを指定することでそのまま読み込める。標準では26の定義されたソースタイプを自動判別し、フォーマットの変更にも、後から「Key=value」ペアを変更することで柔軟に追加や変更ができる。

       1|2|3|4|5 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ