このページの本文へ移動

富士通ソーシアルサイエンスラボラトリ

Japan

リアルタイムログ解析ツールSplunk(スプランク)
FAQ

[索引]
 用語  |  概要  |  機能(収集)   |  機能(レポート)  |  仕様  |   保守  |  ライセンス 

用語

  1. Indexサーバ(インデックスサーバ)
  2. Forwarder(フォワダ)
  3. SplunkBase(スプランクベース)
  4. Summary Index(サマリインデックス)

ページの先頭へ

概要

  1. Splunkとは何ですか?
  2. Splunkはどのような問題を解決できますか?
  3. 誰がSplunkを使うのですか?
  4. Splunkはどんな用途で使われることが多いですか?
  5. Splunkのインストールにどれくらい時間がかかりますか?

ページの先頭へ

機能(収集)

  1. Splunkには、どのようにデータを取り込ませるのですか?
  2. Windowsのシステムログを収集することは可能ですか?
    また、収集対象のWindows側で何か設定する必要はありますか?
  3. SplunkはWindowsのシステムログを分析することは可能ですか?
  4. Splunkはエージェントを必要としますか?
  5. SplunkはDBを取り込めますか?

ページの先頭へ

機能(レポート)

  1. レポートのカスタマイズは可能ですか?
    カスタマイズ方法は開示されていますか?
  2. レポートで表示したデータのCSV、PDF等の出力はできますか?
    また、印刷は可能ですか?

ページの先頭へ

仕様

  1. Splunkを導入する場合に必要となるアプリケーションはありますか?
  2. Splunk本体がバージョンアップしたとき、Forwarderはバージョンアップする必要がありますか?

ページの先頭へ

保守

  1. Splunk本体だけをバージョンアップしたとき、Forwarderはサポートしてくれますか?
  2. SplunkBaseからダウンロードしたプラグインは、サポートしてくれますか?

ページの先頭へ

ライセンス

  1. データ量がライセンスの上限を超えた場合、どうなりますか?Update

ページの先頭へ

Q

Indexサーバ(インデックスサーバ)

A

IndexサーバはSplunkを導入したサーバそのものであり、データの蓄積とインデックス作成を行います。
Forwarderを導入した環境ではForwarderと区別するために、このように呼んでいます。

ページの先頭へ

Q

Forwarder(フォワダ)

A

Forwarder(LightForwarderを含む)はエージェントの位置づけで、Indexサーバへデータを転送する機能を提供します。

Forwarderは次のような役割を果たします。

  • Indexサーバが複数構成の場合に、収集対象側のForwarderが複数のIndexサーバにデータを振り分けて転送します。
  • 収集対象側がWindowsの場合に、収集対象側のForwarderがEventlogを収集し、Indexサーバに転送します。

Indexサーバが複数構成の場合

Indexサーバが複数構成の場合

収集対象側がWindowsの場合

収集対象側がWindowsの場合

ページの先頭へ

Q

SplunkBase(スプランクベース)

A

Splunkのユーザーコミュニティーサイトです。
さまざまな用途で使うためのプラグインが数多く登録されています。

一部有償のものもありますが、ほとんど全てのプラグインが無償でダウンロードし利用できます。
Splunk連携ソリューションとして、既存の製品と連携したプラグインも、数多く登録されています。

【プラグイン(一部)】

  • Splunk for Use with F5 Networks Solutions
  • Splunk for VMware ESX Management
  • Splunk for Citrix XenServer Management

ページの先頭へ

Q

Summary Index(サマリインデックス)

A

通常のログに付けるインデックスではなく、一般的には検索した結果に対して付けて利用するインデックスです。
通常検索期間が非常に長いレポートを作成するとパフォーマンスが遅くなることがありますが、サマリインデックスを利用することでレポート作成の時間が短縮されます。

補足:サマリインデックスで取り込むデータ量に関しても、ライセンスのボリュームカウントの対象となります。

ページの先頭へ

Q

Splunkとは何ですか?

A

システムが出力するログデータを高速かつ効率的に収集し、検索・分析するソフトウェア製品です。
Splunkはユーザーに検索機能・レポート機能を提供する一方で、収集したデータは圧縮保管し、またセキュアに管理します。
Splunkは、単にログデータだけでなく、アプリケーション、サーバ、ネットワーク機器が出力するデータ全般を対象とします。

ページの先頭へ

Q

Splunkはどのような問題を解決できますか?

A

運用コストの削減やコンプライアンスへの適合などを実現しながら、アプリケーション、サーバ、ネットワーク、eメールサービスなどの可用性を向上させます。

ページの先頭へ

Q

誰がSplunkを使うのですか?

A

ヘルプデスクの方々からシステム管理者や開発担当の方々など、ログデータを業務として取り扱う方全てです。
さらにサポート担当の方々やコンプライアンス担当、ビジネスユーザーなど、ログ内のデータを見るためにエスカレーションを必要とする方々も自分に必要なデータだけを自ら見ることが出来るようになります。

ページの先頭へ

Q

Splunkはどんな用途で使われることが多いですか?

A

運用管理のサポート支援、トラブルシューティングの効率化、セキュリティ、コンプライアンス、ビジネスインテリジェンスなどの用途で使用されます。

ページの先頭へ

Q

Splunkのインストールにどれくらい時間がかかりますか?

A

数分でインストールすることが出来ます。
Splunkは外部パッケージを必要とせず、自身のディレクトリにインストールされます。
運用開始までの設定もWebインターフェースかコマンドラインインターフェースを用いて簡単に行えます。

ページの先頭へ

Q

Splunkには、どのようにデータを取り込ませるのですか?

A

次のような取り込み方法があります。
  • ローカルのファイルやディレクトリを指定しモニタさせる方法
    Splunkはそのファイルやディレクトリをモニタし、そこにファイルが置かれると取り込みます。
    (注)ローカルのディレクトリだけでなく、リモートマウントしたディレクトリも監視可能です。
  • ネットワークポートを指定する方法
    Splunkの指定したネットワークポートに直接データを送信すると、Splunkは受信したデータを取り込みます。
    例:syslog、SNMP
  • Script Inputを使用する方法
    スクリプトを使用して収集する方法です。
    例:DBからのデータ取得、WMI
    (注)スクリプト自体は別途準備する必要があります。
  • Forwarderを利用する方法
    収集対象側からForwarderでSplunkへデータを転送させると、Splunkは転送されたデータを取り込みます。

ページの先頭へ

Q

Windowsのシステムログを収集することは可能ですか?
また、収集対象のWindows側で何か設定する必要はありますか?

A

可能です。
リモートで収集する場合、WMI(注)を使用した収集も可能ですが、Forwarderを利用することをお奨めしています。
Forwarderを利用すればWindowsドメインのアクセスについて考慮する必要なく、簡易な設定で実現できるためです)

Forwarderを利用する場合は、収集対象側のWindowsにForwarderをインストールする必要があります。

(注)WMI・・・Windows Management Instrumentationのこと

ページの先頭へ

Q

SplunkはWindowsのシステムログを分析することは可能ですか?

A

可能です。
WindowsのEventlog、パフォーマンスデータ、レジストリを収集し分析することが可能です。

ページの先頭へ

Q

Splunkはエージェントを必要としますか?

A

基本的に必要ありません。

但し、次の場合はエージェントの位置づけとして、収集対象側にForwarderを導入する必要があります。

  • WindowsのEventlogを収集するのにWMIを使用することが出来ない場合
    例:収集対象側がWindows環境でIndexサーバ側がLinuxの場合
  • 高可用性を目的とした場合
    例:複数台で構成されたIndexサーバにデータをロードバランシングする場合

ページの先頭へ

Q

SplunkはDBを取り込めますか?

A

「Script for database inputs(注)」を利用することで取り込みが可能です。
但しPerlスクリプトで出来ているため、Splunkを導入したサーバに対象DBのDBI/DBDモジュールを組み込むことが必要となります。

(注)「Script for database inputs」・・・SplunkBaseより無償でダウンロードが可能なサンプルスクリプトです。こちらは、Oracle、MySQL、sybaseに対応しています。

ページの先頭へ

Q

レポートのカスタマイズは可能ですか?
カスタマイズ方法は開示されていますか?

A

可能です。
GUIによるカスタマイズや、直接制御文を打ち込んでのカスタマイズが可能です。

(注)制御文・・・検索やレポートを作成すると、Unixのコマンドのように | (パイプ)でつながったひとつのコマンドが出来上がり、それを制御文と呼んでいます。

ページの先頭へ

Q

レポートで表示したデータのCSV、PDF等の出力はできますか?
また、印刷は可能ですか?

A

CSV、PDFでの出力は可能です。
出力されたファイルについて、印刷も可能です。

(注)PDFの出力はPDF Writer経由での出力となります。

ページの先頭へ

Q

Splunkを導入する場合に必要となるアプリケーションはありますか?

A

Splunkの動作に必要なアプリケーションは全て含まれていますので、他に必要となるアプリケーションはありません。

ページの先頭へ

Q

Splunk本体がバージョンアップしたとき、Forwarderはバージョンアップする必要がありますか?

A

基本的には、同じバージョンのIndexサーバとForwarderサーバのご利用をお奨めします。

ページの先頭へ

Q

Splunk本体だけをバージョンアップしたとき、Forwarderはサポートしてくれますか?

A

例えばIndexサーバのバージョン4.0.9とForwarderのバージョン4.0.8がマイナーバージョン4.0.Xで一致する場合のように、IndexサーバとForwarderのバージョンが異なる場合もマイナーバージョン間であれば、サポート対象となります。

ページの先頭へ

Q

SplunkBaseからダウンロードしたプラグインは、サポートしてくれますか?

A

有償のプラグインはサポート対象です。
無償のプラグインについても、当社より導入したものに限りサポート致します(有償)。

ページの先頭へ

Q

データ量がライセンスの上限を超えた場合、どうなりますか?

A

通常は支障なく使用することが出来ますが、次の場合一部の機能に制限がかかります。

過去30日間(注1)でデータ量がライセンスの上限を超えた日の累計が5回になっていた場合、アラートが発生し検索機能(注2)が停止します。
停止するのは検索機能のみで、インデックス生成は停止しません。
ライセンスを追加するか過去30日間のアラートが5回未満になると、検索機能は復旧します。

注1・・・カレンダーの1ヶ月ではなく過去30日間です。
注2・・・検索機能が停止するため、レポートやアラートも利用することが出来ません。

ページの先頭へ

トップページ   |   特長   |   適用業務   |   機能   |   動作環境   |   FAQ   |   標準価格   |   パンフレット・資料

分からない

製品・サービスに関するご質問やご相談などを承っております。

ぜひ、お気軽にお問い合わせください。

お問い合わせ
パートナー

富士通グループ各社、富士通SDC会員様(富士通販売パートナー様)向けに各種拡販資料を掲載しております。

販売パートナーサイトについて

パートナーサイトへ

ページの先頭へ

関連リンク

導入をご検討中のお客様

お客様へ

製品・サービスお問い合わせへ
販売パートナーサイトへ
販売パートナーサイトとは

関連製品・サービス

このコンテンツについて