LogManagement/Splunk の履歴差分(No.5)

• 履歴一覧
• 現在との差分 を表示
• ソース を表示
• 履歴 を表示
• LogManagement/Splunk へ行く。
  • 1 (2015-09-11 (金) 01:45:32)
  • 2 (2015-09-11 (金) 02:16:27)
  • 3 (2015-09-11 (金) 05:07:17)
  • 4 (2015-09-14 (月) 05:19:25)
  • 5 (2015-09-15 (火) 01:57:20)
  • 6 (2015-09-17 (木) 02:13:00)
  • 7 (2015-09-18 (金) 02:06:04)
  • 8 (2015-09-18 (金) 08:25:08)
  • 9 (2015-10-23 (金) 17:20:27)
  • 10 (2016-01-20 (水) 13:15:36)
  • 11 (2016-01-22 (金) 10:47:28)

• 追加された行はこの色です。
• 削除された行はこの色です。

-ログデータ分析基盤。商用だが無料版もある。使う機会が多いのでまとめた

*インストール [#u9182515]

無料版でも有料版でもバイナリはいっしょ。
rpmが用意されているので実行する。splunkユーザーが追加されるので。splunkユーザになる。


**設定ファイルの場所 [#ab45df1d]

|/opt/splunk/etc/system/default|設定ファイルデフォルトディレクトリ。バージョンアップで上書きされる可能性があるので変更するならローカル上書きフォルダ|
|/opt/splunk/etc/system/local|ローカルで上書きする場合のファイル|

*起動 [#b8cb095b]

 su - splunk
 splunk start 
 splunk stop

splunkユーザーだと8000ポートで起動するので、nginxでproxy設定をして80アクセス可能とした。

        location / {
                proxy_pass   http://127.0.0.1:8000/;
        }
 


*設定ファイルによるカスタムフィールドの定義 [#acb19d8c]

|transforms.conf|正規表現を定義する|
|props.conf|ソースタイプごとの設定を行う。文字コードや上記正規表現の適用など|
|fields.conf|フィールドごとにINDEXEDの有無を設定|


*オペレーション [#fe39d707]