Splunkへのログインとデータの取り込み
Splunkにログインしてみる
前回Splunkのインストールまで実施しましたので、Web画面からログインしてみます。
初期ログイン時のユーザー名とパスワードはログイン画面に表示されていますので、その情報でログインします。
- username:admin
- password:changeme
ログインするとパスワード変更を促す画面になるので、適切にパスワードを変更しておきましょう。
ログイン後の画面は以下の通り。
データの取り込み
それでは早速データをインデックスに取り込んでみます。
取り込めるデータは、以下のようなものがあります。
ファイルやディレクトリ
指定したファイルやディレクトリを監視して、更新があればデータを取得する。
ネットワークイベント
TCPやUDPのポートを監視して、受信したデータを取り込み。Syslogの取り込みとかに使われる。
Windows関連
Windowsのイベントログやレジストリデータ、Active Directoryの監視など、Windowsに特化した情報の取り込み。
SplunkをWindowsにインストールした場合に適用できる。
その他
スクリプトを使った入力やモジュラー入力などもあるらしい。
What Splunk Enterprise can index
ファイルやディレクトリからのデータ取り込み
ファイルやディレクトリからのデータ取り込みを試してみます。
右上の「Settings」->「Data Inputs」を選択します。
続いて「Files & directories」を選択。
Files & directoriesの入力ボックスに、取り込みたいファイルやディレクトリのパスを選択します。
さらに継続的に監視したい場合は、Continuously Monitorを、一度だけ取り込みたい場合はIndex Onceを選択して、「NEXT」。
試しにNGINXのエラーログを取り込んでみました。
Splunkには、あらかじめ形式が登録されているログタイプがあり(Apacheのアクセスログなど)、「Sourcetype」から選択することができます。
NGINXは無いようのと、タイムスタンプの場所をちゃんと認識してくれている(黄色の網掛け部分)ので、そのまま「Next」を選択。
ちなみにこのタイミングでタイムスタンプを正しく認識させることは超重要。
なぜならここで変更しないと、以降変更が不可だから。
Sourcetypeの設定画面が出てくるので、適当に入力して保存。
Input Settingsの画面では、ファイルの取り込みに関する詳細な設定を行うことができます。
- App context
取り込んだデータをどのように利用するかを選択可能。 - Host
機器のホスト名を設定できます。ここで設定した名前は、ログを検索するときの検索条件にも使うことが出来るので、同一の機器から取り込んだログを同じホスト名にしておけば、まとめて検索が可能になります。 - Index
取り込んだログをどのIndexに格納するかを選択可能。
もろもろ設定して「Review」を選択すると、確認画面が出てきて「Submit」を選択するとデータの取り込みを行います。
successfullyと表示されれば完了です。
Use Splunk Web
via:Use Splunk Web