Splunkへのログインとデータの取り込み

Splunkにログインしてみる

前回Splunkのインストールまで実施しましたので、Web画面からログインしてみます。
初期ログイン時のユーザー名とパスワードはログイン画面に表示されていますので、その情報でログインします。

  • username:admin
  • password:changeme

ログインするとパスワード変更を促す画面になるので、適切にパスワードを変更しておきましょう。

ログイン後の画面は以下の通り。

Home | Splunk 6.2.2 2015-02-26 09-12-54

データの取り込み

それでは早速データをインデックスに取り込んでみます。

取り込めるデータは、以下のようなものがあります。

ファイルやディレクトリ

指定したファイルやディレクトリを監視して、更新があればデータを取得する。

ネットワークイベント

TCPやUDPのポートを監視して、受信したデータを取り込み。Syslogの取り込みとかに使われる。

Windows関連

Windowsのイベントログやレジストリデータ、Active Directoryの監視など、Windowsに特化した情報の取り込み。
SplunkをWindowsにインストールした場合に適用できる。

その他

スクリプトを使った入力やモジュラー入力などもあるらしい。

What Splunk Enterprise can index

via:What Splunk Enterprise can index

ファイルやディレクトリからのデータ取り込み

ファイルやディレクトリからのデータ取り込みを試してみます。

右上の「Settings」->「Data Inputs」を選択します。

Data_inputs_-_Settings___Splunk

続いて「Files & directories」を選択。

Data_inputs_-_Settings___Splunk

Files & directoriesの入力ボックスに、取り込みたいファイルやディレクトリのパスを選択します。
さらに継続的に監視したい場合は、Continuously Monitorを、一度だけ取り込みたい場合はIndex Onceを選択して、「NEXT」。

Add Data - Select Source | Splunk 6.2.2 2015-02-26 12-10-38

試しにNGINXのエラーログを取り込んでみました。

Add_Data_-_Set_Sourcetype___Splunk_6_2_2

Splunkには、あらかじめ形式が登録されているログタイプがあり(Apacheのアクセスログなど)、「Sourcetype」から選択することができます。
NGINXは無いようのと、タイムスタンプの場所をちゃんと認識してくれている(黄色の網掛け部分)ので、そのまま「Next」を選択。

ちなみにこのタイミングでタイムスタンプを正しく認識させることは超重要。
なぜならここで変更しないと、以降変更が不可だから。

Sourcetypeの設定画面が出てくるので、適当に入力して保存。

Add Data - Set Sourcetype | Splunk 6.2.2 2015-02-26 12-38-51

Input Settingsの画面では、ファイルの取り込みに関する詳細な設定を行うことができます。

  • App context
    取り込んだデータをどのように利用するかを選択可能。
  • Host
    機器のホスト名を設定できます。ここで設定した名前は、ログを検索するときの検索条件にも使うことが出来るので、同一の機器から取り込んだログを同じホスト名にしておけば、まとめて検索が可能になります。
  • Index
    取り込んだログをどのIndexに格納するかを選択可能。

もろもろ設定して「Review」を選択すると、確認画面が出てきて「Submit」を選択するとデータの取り込みを行います。

Add Data - Success | Splunk 6.2.2 2015-02-26 12-53-52

successfullyと表示されれば完了です。

Use Splunk Web

via:Use Splunk Web

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください