第2回 マシンデータの検索からヒントを可視化する方法：実践 Splunk道場（3/5 ページ）

[矢崎誠二，ITmedia]

• コマンドの実行

　さて、いくつかのコマンドを実行してみよう。サーチは条件を絞っていくイメージだ。どのログ、どのサーバから実行するのか、どのような文字を含むのか、そして、コマンドで検索結果をパイプ（｜）でつなげていくことで、求める値を抽出していく。

例1：Webでアクセス失敗を確認

www 404

　wwwおよび404の文字列を検索。間のスペースは「＆」を意味する。

例2：Webでアクセス成功かつPOSTメソッドを確認

www status=200 POST

　Key=valueペアとして、status=200とし、より精度を上げる。

例3：自社Webへのアクセス失敗した上位IPとその件数、割合を確認

buttercupgames status=404 | top clientip

　buttercupgamesはサンプルログの自社ドメイン名。それに404を追記。別のコマンドを利用する場合はパイプでつなぎ、この場合はtopコマンドでclientipを引数で渡す。このclientipは、前述したIPを示すフィールドである。

例4：自社WebアクセスをIPごとにmethod、statusの件数を確認

buttercupgames | chart values(method) values(status) count by clientip

　chartコマンドおよびchartのvalues()パラメータを利用してmethodとstatusの固有件数をIPごとに統計する。

例5：Webアクセスでアプリケーション（file）ごとにhttpのステータス404、503を確認

sourcetype=access_*  | chart count(eval(status="503")) as 503 count(eval(status="404")) AS 404 by file

　Webアクセスに特化するため、「sourcetype=access_*」でWebのログだけを対象にする。Countの際にはevalコマンドを利用して503の結果の数だけを返すようにする。

　さらに、Splunkでは可視化するための視覚エフェストを多数用意しており、サーチの結果から「視覚エフェクト」タブに遷移することで、ビジュアライゼーションが容易だ。上記の例5を利用しての結果を示そう。

　また、どの国からのアクセスかを確認するために、IPアドレス情報から地理情報を取得し、緯度、経度情報から検索結果を地図上にマップすることで、購買傾向やアクセス指向が地理、時間、内容の観点で手に取るように分かる。これは「iplocation」と「geostats」を利用し、視覚エフェクトを「マップ」に変更することで実現できる。