Splunkのインストールと設定

Splunkをインストールして試用してみたので、まとめておきます。

Splunkとは
あらゆるデータにインデックスをつけて検索/分析しやすくするためのソフトウェアです。
詳しくは下記を参照ください。

Splunk日本語公式サイト

今回対象のデータはNetwork Deviceのsyslogです。
試用しようと思ったきっかけは下記の2つ。
 ・障害時、問題特定への時間短縮。
 ・人を選ばず、誰でもログを簡単に閲覧出来るように。

なにはともあれsyslogサーバをGUI化させたかったのでやってみました。

構成図

Network Deviceがsyslogサーバにログを送信し蓄積しています。
syslogサーバからSplunkサーバへUniversalForwarderを使用してログを転送しています。
syslogサーバにSplunkをインストールして1台で完結出来るのですが、
今回は蓄積サーバと閲覧サーバを別にする構成にしました。

f:id:kashigeru:20131119091445j:plain

Splunkインストール

閲覧サーバ(10.32.99.143)のみにインストール
公式サイトからSplunkをダウンロードします。
http://ja.splunk.com/download
現在の最新バージョンは6.0です。
今回は2.6+ kernel Linux distributions (64-bit)のtgz形式をダウンロードしました。
splunk-6.0-182037-Linux-x86_64.tgz

# tar xvzf splunk-6.0-182037-Linux-x86_64.tgz -C /opt
# cd /opt/splunk/bin
# ./splunk start

インストールは簡単で解凍してフォルダ移動して起動。これだけです。
最初の起動の時にライセンス関連のメッセージがでるのでyで同意します。

これでSplunkのGUI画面にログイン出来るようになります。
初期ID/パスワードはadmin/changemeです。

f:id:kashigeru:20131119091440j:plain

Splunk設定

自動起動設定

# /opt/splunk/bin/splunk enable boot-start
# chkconfig --list splunk
splunk          0:off   1:off   2:on    3:on    4:on    5:on    6:off

Universal Forwarderからの待受ポート9997設定

設定→転送と受信

f:id:kashigeru:20131119091444j:plain

受信の設定→新規追加

9997を入力し保存します。

f:id:kashigeru:20131119091442j:plain

これでSplunkの設定は完了です。

Splunk Universal Forwarderインストール

syslogサーバ(10.32.99.66)のみにインストール
公式サイトからUniversal Forwarderをダウンロードします。
http://ja.splunk.com/download/universalforwarder

今回も2.6+ kernel Linux distributions (64-bit)のtgz形式をダウンロードしました。
splunkforwarder-6.0-182037-Linux-x86_64.tgz

インストール方法はsplunkと同様に解凍してフォルダ移動して起動です。
最初の起動の時にライセンス関連のメッセージがでるのでyで同意します。

# tar xvzf splunkforwarder-6.0-182037-Linux-x86_64.tgz -C /opt
# cd /opt/splunkforwarder/bin
# ./splunk start

Splunk Universal Forwarder設定

自動起動設定

# /opt/splunkforwarder/bin/splunk enable boot-start
# chkconfig --list splunk
splunk          0:off   1:off   2:on    3:on    4:on    5:on    6:off

splunkサーバ(閲覧サーバ)の指定

# /opt/splunkforwarder/bin/splunk add forward-server 10.32.99.143:9997

IDとパスワードを聞かれるので初期パスワードのadmin/changemeを入力
設定の確認

# /opt/splunkforwarder/bin/splunk list forward-server
Active forwards:
        10.32.99.143:9997
Configured but inactive forwards:
        None

ログを転送するディレクトリorファイル指定

/var/log/syslogのログを転送する場合

# /opt/splunkforwarder/bin/splunk add monitor /var/log/syslog

再起動

# /opt/splunkforwarder/bin/splunk restart

これで閲覧サーバにログが転送されて見れるようになります。

まとめ

GUI化することでログは見やすくなりました。
インストールも設定も容易なので一度試してみるのもありかと。

【参考】
Splunk日本語公式サイトinstallation manual
http://byteschef.com/how-to-setup-splunk-universal-forwarder/