LogManagement/Splunk
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
検索
|
最終更新
|
ヘルプ
|
ログイン
]
開始行:
-ログデータ分析基盤。商用だが無料版もある。使う機会が多い...
*インストール [#u9182515]
無料版でも有料版でもバイナリはいっしょ。
rpmが用意されているので実行する。splunkユーザーが追加され...
**設定ファイルの場所 [#ab45df1d]
|/opt/splunk/etc/system/default|設定ファイルデフォルトデ...
|/opt/splunk/etc/system/local|ローカルで上書きする場合の...
*起動 [#b8cb095b]
su - splunk
splunk start
splunk stop
splunkユーザーだと8000ポートで起動するので、nginxでproxy...
location / {
proxy_pass http://127.0.0.1:8000/;
}
*設定ファイルによるカスタムフィールドの定義 [#acb19d8c]
|transforms.conf|正規表現を定義する|
|props.conf|ソースタイプごとの設定を行う。文字コードや上...
|fields.conf|フィールドごとにINDEXEDの有無を設定|
|ui-prefs.conf|デフォルトのUIを指定する。デフォルトが全期...
**デフォルトの検索時間設定 [#e638f562]
-$SPLUNK_HOME/etc/system/local/ui-prefs.conf
[search]
dispatch.earliest_time = -24h
dispatch.latest_time = now
[default]
dispatch.earliest_time = -24h
dispatch.latest_time = now
*インデックス [#ff8f29b4]
splunkのインデックスはその単位で物理ファイルに分かれてい...
インデックスの状態はhot,warm,coldなどなど。設定は indexes...
*オペレーション [#fe39d707]
**ソースごとの使用量 [#gc0f3f71]
index=_internal source=*license_usage.log type=Usage ear...
| eval MB = b/1024/1024
| rename s AS source
| timechart span=1d sum(b) AS "Total MB used" by source
-一日単位の使用量
index=_internal sourcetype="splunkd" group="per_sourcety...
-一時間単位の使用量
index=_internal sourcetype="splunkd" group="per_sourcety...
**Emailの送信履歴 [#t22f94b8]
index=_internal ( sourcetype=scheduler alert_actions="em...
**出力フィールドを絞る [#l2200b68]
サーチ文字列 | fields column1,column2
**出力フィールドをテーブル形式にする。 [#c39a9e7e]
サーチ文字列 | table column1,column2
**消す(権限が必要) [#weadebeb]
サーチ文字列 | delete
*アラート送信時のカスタムスクリプト [#g3fc60c2]
http://docs.splunk.com/Documentation/Splunk/latest/Alert/...
*トラブルシューティング [#l3da7207]
|サーチしたら「waiting for queued job to start...」とでる...
*構成要素 [#h676965f]
**Splunk Forwarder [#f6f6951a]
データ転送エージェントいくつか種類があるが、単なる転送だ...
**Splunk indexer [#c5e64d38]
生データをindexに投入する役割。
終了行:
-ログデータ分析基盤。商用だが無料版もある。使う機会が多い...
*インストール [#u9182515]
無料版でも有料版でもバイナリはいっしょ。
rpmが用意されているので実行する。splunkユーザーが追加され...
**設定ファイルの場所 [#ab45df1d]
|/opt/splunk/etc/system/default|設定ファイルデフォルトデ...
|/opt/splunk/etc/system/local|ローカルで上書きする場合の...
*起動 [#b8cb095b]
su - splunk
splunk start
splunk stop
splunkユーザーだと8000ポートで起動するので、nginxでproxy...
location / {
proxy_pass http://127.0.0.1:8000/;
}
*設定ファイルによるカスタムフィールドの定義 [#acb19d8c]
|transforms.conf|正規表現を定義する|
|props.conf|ソースタイプごとの設定を行う。文字コードや上...
|fields.conf|フィールドごとにINDEXEDの有無を設定|
|ui-prefs.conf|デフォルトのUIを指定する。デフォルトが全期...
**デフォルトの検索時間設定 [#e638f562]
-$SPLUNK_HOME/etc/system/local/ui-prefs.conf
[search]
dispatch.earliest_time = -24h
dispatch.latest_time = now
[default]
dispatch.earliest_time = -24h
dispatch.latest_time = now
*インデックス [#ff8f29b4]
splunkのインデックスはその単位で物理ファイルに分かれてい...
インデックスの状態はhot,warm,coldなどなど。設定は indexes...
*オペレーション [#fe39d707]
**ソースごとの使用量 [#gc0f3f71]
index=_internal source=*license_usage.log type=Usage ear...
| eval MB = b/1024/1024
| rename s AS source
| timechart span=1d sum(b) AS "Total MB used" by source
-一日単位の使用量
index=_internal sourcetype="splunkd" group="per_sourcety...
-一時間単位の使用量
index=_internal sourcetype="splunkd" group="per_sourcety...
**Emailの送信履歴 [#t22f94b8]
index=_internal ( sourcetype=scheduler alert_actions="em...
**出力フィールドを絞る [#l2200b68]
サーチ文字列 | fields column1,column2
**出力フィールドをテーブル形式にする。 [#c39a9e7e]
サーチ文字列 | table column1,column2
**消す(権限が必要) [#weadebeb]
サーチ文字列 | delete
*アラート送信時のカスタムスクリプト [#g3fc60c2]
http://docs.splunk.com/Documentation/Splunk/latest/Alert/...
*トラブルシューティング [#l3da7207]
|サーチしたら「waiting for queued job to start...」とでる...
*構成要素 [#h676965f]
**Splunk Forwarder [#f6f6951a]
データ転送エージェントいくつか種類があるが、単なる転送だ...
**Splunk indexer [#c5e64d38]
生データをindexに投入する役割。
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
