splunk - リアルタイムログ解析プラットフォーム

名前は聞いたことあったけど、interopで詳細聞いて面白そうだった。
fluentd + growthforecast or その他の見える化ツールのようなもの?

ドキュメントだいぶ充実してる。
linuxや各種ネットワーク機器用のapp (cacti でいうtemplateみたいな) もたくさん用意されてる。

ログの容量が1日500MByteまでは無償で、それを越える場合は有償ライセンスが必要。
interopのブースでは、ドミノピザが注文データをリアルタイム解析に利用している事例として映像ながれてた。

install

tar.gzを展開して適当なところ(defaultでは/opt)に置くか、rpm/debのパッケージで入れるか。

起動

環境変数設定

# export SPLUNK_HOME=/opt/splunk
# export PATH=$SPLUNK_HOME/bin:$PATH
# $SPLUNK_HOME/bin/splunk start
# splunk start


8000番portでweb interfaceがlistenする。

default (初回ログイン時は表示されてるので覚えなくていいけど)
user: admin
pass: changeme

自動起動

(chkconfig splunk on 的なことをしてくれる)

# splunk enable boot-start

universal forwarder

いわゆるclient。ログを送りたいサーバにinstallする。

この辺から落とす。

ログを送り出す設定ファイルはこれ?
/opt/splunkforwarder/etc/system/local/outputs.conf

cliでもできるぽい

# splunk add forward-server host:port
# splunk list forward-server
# splunk add monitor /path/to/file
# splunk list monitor

Splunk App for Unix and Linux

tar.gzを展開して/opt/splunk/etc/apps/以下に置く

# $SPLUNK_HOME/bin/splunk cmd $SPLUNK_HOME/etc/apps/Splunk_TA_nix/bin/setup.sh