企業や団体の活動には様々な IT 機器(サーバ、スマートフォン、 PC、...)が使用されます。そして、それらの機器は操作や通信などの記録であるログを日々出力しています。
しかし、いざログを活用しようにも、各々のログは別々の場所で管理されている場合が多いです。毎回ログの場所を確認し、ログの中身を確認するのには非常に手間がかかります。また、形式もハードウェアやソフトウェアによって異なります。
そこで登場するのが、Splunk です。
本記事では、 Splunk の概要と基本的な使い方について解説します。
Splunkの概要
Splunk とは一言で言うと「ログを集めるソフトウェア」 です。
Splunk を使用すると、複数のログを 「同じ場所に」、「同じ形式で」 集めることができます。
一度集めることができれば、Splunkにアクセスするだけであらゆるログを参照できます。ログ毎に専用の処理を作成する必要はなく、複数のログを組み合わせることも簡単です。
Splunkは、単にログを収集し閲覧するだけではなく、集めたログを検索・集計・加工して表やグラフにすることもできます。また、表やグラフを1つの画面(ダッシュボード)にまとめることも可能です。
これら Splunk の機能を活用することで、膨大なログを容易に分析し、業務に役立てることができます。
Splunkの基本的な使い方
環境の準備
Splunk にはクラウドサービスとして提供されている「Splunk Cloud Platform」と、使用者が管理するハードウェアまたはクラウドインスタンスにインストールして利用する「Splunk Enterprise」の2種類があります。
「Splunk Cloud Platform」も「Splunk Enterprise」も無料で試すことができますが、本記事では「Splunk Enterprise」トライアル版を利用します。
※ トライアル版には、1日あたり500MBまでのインデックス量と、60日間までという制限がありますが、アカウントを作成すればお手軽に環境を持てるので、是非実施してみてください。
環境を作成したら、早速ログ検索をしてみましょう。
サーチ方法
左の「 App 」から、「 Search & Reporting 」を選択します。
選択すると、以下のサーチ画面が表示されます。
「index="_internal"」の文字列を検索窓に入力します。
※この文字列は「 SPL 文」と呼ばれる、 Splunk 独自の言語「 SPL 」で書かれた処理文です。今回はSPL文についての説明は割愛します。
上記の文字列を入力後、検索結果としてSplunkの内部ログが表示されます。
検索範囲は以下の通り細かく設定できます。
また、以下のエクスポートボタンからCSV形式でログを保存することができます。
タブの使用方法
検索結果
stats 等で統計化していない単純な検索結果では、次の2つの表示形式が使用できます。
イベント
検索でヒットしたログの元ログとフィールドに関する情報を表示する形式です。
上側に時間別のログ件数が棒グラフで表示され、左下には抽出されたフィールド情報、右下には元ログとその出力時間が表示されます。
どのような項目が含まれているかといった、ログの細かい内容を知りたい場合に有用です。
パターン
元ログから似たパターンのログをまとめ、抽出したパターンを表示する形式です。
大量のログについて、出力内容の大まかな傾向を見るのに有用です。
集計結果
stats 等で統計化した結果に対しては、以下の2つの表示形式が使用できます。
統計情報
集計結果を表形式で表示する形式です。
個々の項目について細かい値が見たい場合に有用です。
視覚エフェクト
集計結果をグラフ形式で表示する形式です。
集計結果全体の大まかな傾向が見たい場合に有用で、使用できるグラフには様々な種類があります。
最後に
Splunk の基本的な使い方についてご紹介しました。
是非、Splunkに触れる機会がありましたら、本記事を参考にしていただければ幸いです。
